Email-Worm.Win32.Myba

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Интернет червь, распространяется в электронных письмах и при активизации рассылает
себя с зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся
в адресной книге Outlook.

Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic.
Код червя явно заимствован из VBS-вируса «I-Worm.LoveLetter»
— код и названия процедур червя в некоторых случаях практически полностью повторяют
«LoveLetter», т.е. VBS-код червя «LoveLetter» был адаптирован к языку VisualBasic
и откомпилирован в EXE-файл.

При запуске червя (если пользователь «кликнет» на файле-вложении) червь инсталлирует
себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные)
действия.

Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно,
и является телом червя.



The message has:

Письмо имеет следующие характеристики:

Тема письма: My baby pic !!!
Сообщение в письме: Its my animated baby picture !!
Имя прикрепленного файла: mybabypic.exe

При активизации (если пользователь открывает прикрепленный файл) червь получает
доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает
по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и
имя прикрепленного файла те же, что и выше.

Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows
файлы со своими копиями. Имена создаваемых файлов:

WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE

Затем червь записывает ссылки на эти файлы в секции автоматического запуска
системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic = %WinSystem%mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 = %WinSystem%WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices = %WinSystem%Win32DLL.exe

где %WinSystem% является именем системного каталога Windows. В результате червь
активизируется при каждом перезапуске Windows.

Червь также создает свой собственный ключ реестра:

HKCUSoftwareBugger
Default = HACK[2K]
mailed = %number%

где %number% является числом 0,1,2 или 3 в зависимости от «стадии» действия
червя: инсталляция, распространение, деструктивные действия.

Проявления червя достаточно многообразны. В зависимости от текущей даты и времени
червь:

  • включает/выключает NumLock, CapLock и ScrollLock
  • посылает в буфер клавиатуры текст:

    IM_BESIDES_YOU_

  • открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:

    FROM BUGGER
    HAPPY VALENTINES DAY FROM BUGGER
    HAPPY HALLOWEEN FROM BUGGER

Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями
червь выполняет различные действия:

VBS, VBE: уничтожает их содержимое.

JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением
.EXE и записывает в них свою копию.

JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою
копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет.

MP2, MP3: создает новый файл и именем MP-файла и расширением .EXE и записывает
в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».