Описание |
Technical Details
Интернет-червь, распространяется как вложение в заражённых сообщениях
электронной почты. Червь использует бреши защиты в Microsoft Internet
Explorer, Outlook и Windows Media Player для автоматического запуска при
просмотре заражённых писем.
Заражённые письма
Сообщения электронной почты, рассылаемые червём, имеют различные темы и
тексты, которые генерируются случайно из нескольких строк.
Адрес отправителя: настроенные в системе по умолчанию имя пользователя и
адрес электронной почты.
Возможные темы сообщений:
- Hi (имя получателя письма)
- Dear (имя получателя письма)
- Hello (имя получателя письма)
- My friend, (имя получателя письма)
- How are you !! (имя получателя письма)
Текст сообщения «склеивается» из следующих строк:
- Hi (имя получателя письма) , See this funny video.
- Dear (имя получателя письма) , This is interesting movie.
- Hello (имя получателя письма) + , Open the + cute + penguin.
- My friend, (имя получателя письма) , Attached is my amusing clip.
- How are you !! (имя получателя письма) , Watch my special tape.
Например,
Заражённые письма содержат следующие вложения:
- mi2.chm, 11397 байт
- mi2.exe, 73752 байт
- mi2.htm, 539 байт
- mi2.wmv, 19485 байт
Установка
Червь не устанавливает себя в заражённую систему и запускается только при
выполнении из заражённых писем.
Размножение
Червь получает адреса электронной почты из Адресной Книги Windows (WAB), и
отсылает по этим адресам заражённые сообщения. Для отсылки сообщений он
использует настроенный в системе по умолчанию SMTP сервер.
Другое
Червь отсылает письма-«уведомления» по нескольким случайно выбранным
адресам электронной почты домена «pchome.com.tw». Червь содержит список из
120 таких адресов. Тема отсылаемого сообщения содержит настроенный в
системе по умолчанию адрес электронной почты.
|