Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsИнтернет вирус-червь, рассылающий свои копии в зараженных письмах электронной почты и заражающий Windows EXE-файлы на локальном компьютере и в локальной сети. Содержит ошибки и в некоторых случаях портит файлы при Содержит текст-«копирайт»:
Заражение системыПри запуске зараженного файла вирус выделяет из зараженного файла свой «чистый» код (9.5-килобайтный Windows EXE-файл) и инсталлирует его в систему:
Зачем нужна такая двух-ходовка при заражении системы не вполне понятно. В некоторых случаях при инсталляции вируса происходит крах системы, и копия вируса из временного каталога не удаляется. Каталог авто-запуска определяется вирусом по ключу системного реестра:
Имя каталога %startup% зависит от версии Windows, например:
После зарершения инсталляции вирус запускает процедуры рассылки писем, заражения EXE-файлов и стелс-процедуру. ЗаражениеВирус ищет .EXE- и .SCR-файлы Windows во всех локальных и доступных сетевых каталогах и заражает их. При заражении вирус выделяет блок кода в файле, компрессирует его, и записывает назад вместе со своим кодом. В результате При заражении вирус также использует полиморфный алгоритм мутирования Электронная почтаДля рассылки зараженных писем вирус ищет базу данных WAB (Windows Address Book), считывает оттуда имя почтового SMTP-сервера, ищет адреса электронной почты и рассылает по ним сообщения. Сообщения рассылаются в формате HTML и имеют поля:
В HTMK-письме вирус использует одну из «дыр» в системе защиты Windows (Vulnerability identifier: CVE-2001-0154). В результате вложенный в письмо EXE-файл автоматически запускается на выполнение при открытии письма или даже Microsoft уже выпустила заплатку, устраняющую эту дыру. Более подробную информацию, а также саму заплатку можно найти здесь: Стелс-процедураВирус перехватывает функции Windows поиска файлов на диске и процессов в памяти (FindFirstFileA, FindNextFileA, Process32First, Process32Next). Эти вызовы таким образом обрабатываются вирусом, что вирусный файл в каталоге |
Узнай статистику распространения угроз в твоем регионе |