Класс | Email-Worm | ||||||
Платформа | Win32 | ||||||
Описание |
Technical DetailsВирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также заражает файлы на инфицированных компьютерах. Является приложением Windows (PE EXE-файл), имеет размер около 45KB, написан на Microsoft Visual C++. Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т. е. является червем “однократного” действия. Рассылка писемПри рассылке зараженных писем вирус подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Для этого вирус создаёт VBS-файл “c:femail.vbs”, записывает в него код рассылки писем и запускает его на выполнение. Зараженные письма содержат:
Вирус вкладывает себя в письмо со своим текущим именем зараженного файла. Если копия вируса переименована в другое имя, то рассылаться он будет с новым именем. Вирус рассылает себя с зараженного компьютера только один раз. Чтобы избежать повторной рассылки вирус создаёт ключ в системном реестре и перед запуском процедуры рассылки писем проверяет его: [HKCUSoftwareMicrosoftWindowsCurrentVersionMeMeMasr?] Заражение EXE-файловВирус записывается в начало EXE-файлов, а первоначальное содержимое файла-жертвы дописывает в конец файла. Вирус ищет и заражает все EXE-файлы (все файлы с расширением имени EXE) во всех каталогах всех доступных дисков за исключением каталога Windows, системного каталога Windows и файлов:
Вирус также не заражает файлы, длина которых более 10M. Вирус отличает уже зараженные файлы от чистых по строке “ShohdiEmail” в конце зараженных файлов. При заражении вирус создаёт временные файлы “%filename%.SEL”, которые могут остаться в системе если при заражении произошел какой-либо сбой. ПроявленияВирус выводит сообщение на арабском языке по пятницам, а также по следующим числам:
![]() |
||||||
Узнай статистику распространения угроз в твоем регионе |