Email-Worm.Win32.Memas

Technical Details

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также заражает файлы на инфицированных компьютерах.

Является приложением Windows (PE EXE-файл), имеет размер около 45KB, написан на Microsoft Visual C++.

Червь не инсталлирует себя в систему и не запускается повторно (за исключением случаев, когда пользователь повторно открывает зараженное вложение). Т. е. является червем “однократного” действия.

Рассылка писем

При рассылке зараженных писем вирус подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Для этого вирус создаёт VBS-файл “c:femail.vbs”, записывает в него код рассылки писем и запускает его на выполнение.

Зараженные письма содержат:

Вирус вкладывает себя в письмо со своим текущим именем зараженного файла. Если копия вируса переименована в другое имя, то рассылаться он будет с новым именем.

Вирус рассылает себя с зараженного компьютера только один раз. Чтобы избежать повторной рассылки вирус создаёт ключ в системном реестре и перед запуском процедуры рассылки писем проверяет его:

[HKCUSoftwareMicrosoftWindowsCurrentVersionMeMeMasr?]

Заражение EXE-файлов

Вирус записывается в начало EXE-файлов, а первоначальное содержимое файла-жертвы дописывает в конец файла. Вирус ищет и заражает все EXE-файлы (все файлы с расширением имени EXE) во всех каталогах всех доступных дисков за исключением каталога Windows, системного каталога Windows и файлов:

iexplore.exe
ccapp.exe
ccregvfy.exe

Вирус также не заражает файлы, длина которых более 10M.

Вирус отличает уже зараженные файлы от чистых по строке “ShohdiEmail” в конце зараженных файлов.

При заражении вирус создаёт временные файлы “%filename%.SEL”, которые могут остаться в системе если при заражении произошел какой-либо сбой.

Проявления

Вирус выводит сообщение на арабском языке по пятницам, а также по следующим числам:

1 января,
21 марта,
23 июля,
6 октября,
26 октября,
25 ноября.