Email-Worm.Win32.Quamo

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57K, написан Visual Basic.

Зараженные письма содержат различные строки, которые случайно выбираются из вариантов:

Заголовок выбирается из списка:

  • Something very special

  • I know you will like this

  • Yes, something I can share with you

  • Wait till you see this!

  • A brand new game! I hope you enjoy it

Варианты текста письма:

  • Hey you, take a look at the attached file. You won’t believe your eyes when you open it!

  • You like games like Quake? You will enjoy this one.

  • Did you see the pictures of me and my battery operated boyfriend?

  • My best friend,
    This is something you have to see!
    Till next time

  • Is Internet that safe?
    Check it out

Имя вложения:

  • quake4demo.exe

  • setup.exe

  • honey.exe

Запуск червя

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом червь стартует процедуру инсталляции себя в систему и выводит сообщение:

При нажатии на [Next] ничего не происходит и приложение-червь прекращает свою работу. При нажатии на [Cancel] стартует процедура рассылки зараженных писем.

Инсталляция

Червь создает новый каталог C:EIRAM и копирует себя в систему с именами:

  • c:eiramquake4demo.exe

  • f:quake4demo.exe (если такой диск есть)

  • и затем регистрирует эти файлы в ключах авто-запуска системного реестра:


    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    «quake»=»c:eiramquake4demo.exe»
    «Q4″=»f:quake4demo.exe»

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    «Q4″=»c:\eiramquake4demo.exe»
    «quake»=»f:quake4demo.exe»

    Позже, при рассылке зараженных писем, червь может также создавать свои дополнительные копии в каталоге Windows, копии червя имеют имена:

    • honey.exe

    • quake4demo.exe

    • setup.exe

    Рассылка писем

    При рассылке писем червь открывает адресную книгу MS Outlook и рассылает себя по всем обнаруженным адресам.

    Проявления

    Червь ищет файлы с расширениями имени: .exe, .xls, .doc, .mdb, .htm, .html,
    .txt, .ocx, и записывает вместо этих файлов текст:


    You’ve didn’t protected your files well enough
    Let this be a lesson! Never trust someone else
    eiram 1999-2001