Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Интернет червь, распространяется в электронных письмах и при активизации рассылает
себя с зараженных компьютеров. При своем распространении червь использует почтовую
систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся
в адресной книге Outlook.

Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic.
Код червя явно заимствован из VBS-вируса «I-Worm.LoveLetter»
— код и названия процедур червя в некоторых случаях практически полностью повторяют
«LoveLetter», т.е. VBS-код червя «LoveLetter» был адаптирован к языку VisualBasic
и откомпилирован в EXE-файл.

При запуске червя (если пользователь «кликнет» на файле-вложении) червь инсталлирует
себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные)
действия.

Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно,
и является телом червя.

The message has:

Письмо имеет следующие характеристики:

Тема письма: My baby pic !!!
Сообщение в письме: Its my animated baby picture !!
Имя прикрепленного файла: mybabypic.exe

При активизации (если пользователь открывает прикрепленный файл) червь получает
доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает
по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и
имя прикрепленного файла те же, что и выше.

Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows
файлы со своими копиями. Имена создаваемых файлов:

WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE

Затем червь записывает ссылки на эти файлы в секции автоматического запуска
системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic = %WinSystem%mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 = %WinSystem%WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices = %WinSystem%Win32DLL.exe

где %WinSystem% является именем системного каталога Windows. В результате червь
активизируется при каждом перезапуске Windows.

Червь также создает свой собственный ключ реестра:

HKCUSoftwareBugger
Default = HACK[2K]
mailed = %number%

где %number% является числом 0,1,2 или 3 в зависимости от «стадии» действия
червя: инсталляция, распространение, деструктивные действия.

Проявления червя достаточно многообразны. В зависимости от текущей даты и времени
червь:

включает/выключает NumLock, CapLock и ScrollLock
посылает в буфер клавиатуры текст:

IM_BESIDES_YOU_
открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов:

FROM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями
червь выполняет различные действия:

VBS, VBE: уничтожает их содержимое.

JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением
.EXE и записывает в них свою копию.

JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою
копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет.

MP2, MP3: создает новый файл и именем MP-файла и расширением .EXE и записывает
в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Интернет червь, распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Червь является приложением Win32 (PE EXE-файлом) и написан на языке VisualBasic. Код червя явно заимствован из VBS-вируса «I-Worm.LoveLetter» — код и названия процедур червя в некоторых случаях практически полностью повторяют «LoveLetter», т.е. VBS-код червя «LoveLetter» был адаптирован к языку VisualBasic и откомпилирован в EXE-файл. При запуске червя (если пользователь «кликнет» на файле-вложении) червь инсталлирует себя в систему, рассылает зараженные письма и выполняет прочие (включая деструктивные) действия. Червь рассылает себя в виде писем с прикрепленным EXE-файлом, который, собственно, и является телом червя. The message has: Письмо имеет следующие характеристики: Тема письма: My baby pic !!! Сообщение в письме: Its my animated baby picture !! Имя прикрепленного файла: mybabypic.exe При активизации (если пользователь открывает прикрепленный файл) червь получает доступ к MS Outlook, открывает адресную книгу, достает оттуда все адреса и рассылает по ним письма с прикрепленной к ним своей копией. Тема, содержимое письма и имя прикрепленного файла те же, что и выше. Червь также инсталлирует себя в систему. Он создает в системном каталоге Windows файлы со своими копиями. Имена создаваемых файлов: WINKERNEL32.EXE, MYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE, COMMAND.EXE Затем червь записывает ссылки на эти файлы в секции автоматического запуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic = %WinSystem%mybabypic.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 = %WinSystem%WINKernel32.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices = %WinSystem%Win32DLL.exe где %WinSystem% является именем системного каталога Windows. В результате червь активизируется при каждом перезапуске Windows. Червь также создает свой собственный ключ реестра: HKCUSoftwareBugger Default = HACK[2K] mailed = %number% где %number% является числом 0,1,2 или 3 в зависимости от «стадии» действия червя: инсталляция, распространение, деструктивные действия. Проявления червя достаточно многообразны. В зависимости от текущей даты и времени червь: включает/выключает NumLock, CapLock и ScrollLock посылает в буфер клавиатуры текст: IM_BESIDES_YOU_ открывает сайт http://www.youvebeenhack.com и посылает на него один из текстов: FROM BUGGER HAPPY VALENTINES DAY FROM BUGGER HAPPY HALLOWEEN FROM BUGGER Червь также ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия: VBS, VBE: уничтожает их содержимое. JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H: переименовывает их с расширением .EXE и записывает в них свою копию. JPG, JPEG: добавляет к именам файлов расширение .EXE и записывает в них свою копию (например, PIC1.JPG.EXE). Оригинальный файл червь удаляет. MP2, MP3: создает новый файл и именем MP-файла и расширением .EXE и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут «скрытый».

Email-Worm.Win32.Myba

Technical Details