Дата обнаружения | 29/01/2002 |
Класс | Email-Worm |
Платформа | Win32 |
Описание |
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 30K (упакован UPX, размер распакованного файла — около 76K), написан на Microsoft Visual C++. Зараженные письма содержат: Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Копия файла-червя создается с именами:
и эта копия запускается на выполнение (червь запускает себя заново из своей копии в файле «regctrl.exe»). При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу «http://www.disney.com». Первоначальный файл (как он был запущен из вложения в письмо) перемещается в каталог Recylced/Recycler с именем:
где %1, %2, %3 — случайные числа, например:
При инсталляции червь также проверяет поддержку языков и, если установлена поддержка русского языка, также перемещает себя в каталог Recylced/Recycler. Тоже самое происходит в любой день за исключением 25-29 января 2002 года.
Рассылка писем При повторном запуске червь активизирует процедуру рассылки зараженных писем. При этом червь использует прямое подключение к SMTP-черверу, имя которого определяет по системным настройкам электронной почты. Адреса электронной почты, по которым будет рассылаться зараженное сообщение червь ищет в следующих файлах:
При этом червь также отсылает одно письмо (без вложения) на адрес «napster@gala.net»
Прочее Под WinNT/2000/… червь создает в каталоге автозагрузки дополнительный файл:
который является троянской программой типа «бекдоор» и управляется «хозяином» командами, расположенными на одной из страниц по адресу http://209.151.250.170.
Известные модификации Известна одна модификация червя:
Основное отличие от первой версии — имя файла-вложения:
|
Узнай статистику распространения угроз в твоем регионе |