Дата обнаружения | 29/01/2002 |
Класс | Email-Worm |
Платформа | Win32 |
Описание |
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 30K (упакован UPX, размер распакованного файла – около 76K), написан на Microsoft Visual C++. Зараженные письма содержат: Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Копия файла-червя создается с именами:
и эта копия запускается на выполнение (червь запускает себя заново из своей копии в файле “regctrl.exe”). При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу “http://www.disney.com”. Первоначальный файл (как он был запущен из вложения в письмо) перемещается в каталог Recylced/Recycler с именем:
где %1, %2, %3 – случайные числа, например:
При инсталляции червь также проверяет поддержку языков и, если установлена поддержка русского языка, также перемещает себя в каталог Recylced/Recycler. Тоже самое происходит в любой день за исключением 25-29 января 2002 года.
Рассылка писем При повторном запуске червь активизирует процедуру рассылки зараженных писем. При этом червь использует прямое подключение к SMTP-черверу, имя которого определяет по системным настройкам электронной почты. Адреса электронной почты, по которым будет рассылаться зараженное сообщение червь ищет в следующих файлах:
При этом червь также отсылает одно письмо (без вложения) на адрес “napster@gala.net”
Прочее Под WinNT/2000/… червь создает в каталоге автозагрузки дополнительный файл:
который является троянской программой типа “бекдоор” и управляется “хозяином” командами, расположенными на одной из страниц по адресу http://209.151.250.170.
Известные модификации Известна одна модификация червя:
Основное отличие от первой версии – имя файла-вложения:
|
Узнай статистику распространения угроз в твоем регионе |