Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер
распакованного файла — около 15K), написан на Visual Basic.

Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на
вложении). Замечание: реальное .EXE-имя файла во вложении скрыто «ложным» .JPG-именем при помощи
дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит
как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения
подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше.

Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

При инсталляции червь копирует себя с именем «csrss.EXE» в системный каталог Windows и
регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemSARS32 = %WindowsDir%csrss.EXE

Рассылка писем

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам,
обнаруженным в адресной книге.

Зараженные письма содержат:

Заголовок: Alert! SARS Is being Spread!
Текст: Hi!, This is a beta test SARS. Please check an attachment!

Начало текста письма может быть перекрыто иконкой «JPG-вложения».

Проявление

Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь удаляет все файлы *.DLL, *.NLS, *.OCX в
текущем каталоге (как правило — в каталоге Windows).

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла — около 15K), написан на Visual Basic. Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Замечание: реальное .EXE-имя файла во вложении скрыто «ложным» .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция При инсталляции червь копирует себя с именем «csrss.EXE» в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun SystemSARS32 = %WindowsDir%csrss.EXE Рассылка писем При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат: Заголовок: Alert! SARS Is being Spread! Текст: Hi!, This is a beta test SARS. Please check an attachment! Начало текста письма может быть перекрыто иконкой «JPG-вложения». Проявление Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь удаляет все файлы .DLL, .NLS, *.OCX в текущем каталоге (как правило — в каталоге Windows).
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Melare

Technical Details