Email-Worm.Win32.Melare

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер
распакованного файла — около 15K), написан на Visual Basic.

Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на
вложении). Замечание: реальное .EXE-имя файла во вложении скрыто «ложным» .JPG-именем при помощи
дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит
как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения
подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше.

Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.


Инсталляция

При инсталляции червь копирует себя с именем «csrss.EXE» в системный каталог Windows и
регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemSARS32 = %WindowsDir%csrss.EXE

Рассылка писем

При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам,
обнаруженным в адресной книге.

Зараженные письма содержат:

Заголовок: Alert! SARS Is being Spread!
Текст: Hi!, This is a beta test SARS. Please check an attachment!

Начало текста письма может быть перекрыто иконкой «JPG-вложения».


Проявление

Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь удаляет все файлы *.DLL, *.NLS, *.OCX в
текущем каталоге (как правило — в каталоге Windows).