Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57K, написан Visual Basic.

Зараженные письма содержат различные строки, которые случайно выбираются из вариантов:

Заголовок выбирается из списка:

Something very special

I know you will like this

Yes, something I can share with you

Wait till you see this!

A brand new game! I hope you enjoy it

Варианты текста письма:

Hey you, take a look at the attached file. You won’t believe your eyes when you open it!

You like games like Quake? You will enjoy this one.

Did you see the pictures of me and my battery operated boyfriend?

My best friend,
This is something you have to see!
Till next time

Is Internet that safe?
Check it out

Имя вложения:

quake4demo.exe

setup.exe

honey.exe

Запуск червя

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом червь стартует процедуру инсталляции себя в систему и выводит сообщение:

При нажатии на [Next] ничего не происходит и приложение-червь прекращает свою работу. При нажатии на [Cancel] стартует процедура рассылки зараженных писем.

Инсталляция

Червь создает новый каталог C:EIRAM и копирует себя в систему с именами:

c:eiramquake4demo.exe

f:quake4demo.exe (если такой диск есть)

и затем регистрирует эти файлы в ключах авто-запуска системного реестра:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
“quake”=”c:eiramquake4demo.exe”
“Q4″=”f:quake4demo.exe”

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
“Q4″=”c:\eiramquake4demo.exe”
“quake”=”f:quake4demo.exe”

Позже, при рассылке зараженных писем, червь может также создавать свои дополнительные копии в каталоге Windows, копии червя имеют имена:

honey.exe

quake4demo.exe

setup.exe

Рассылка писем

При рассылке писем червь открывает адресную книгу MS Outlook и рассылает себя по всем обнаруженным адресам.

Проявления

Червь ищет файлы с расширениями имени: .exe, .xls, .doc, .mdb, .htm, .html,
.txt, .ocx, и записывает вместо этих файлов текст:

You’ve didn’t protected your files well enough
Let this be a lesson! Never trust someone else
eiram 1999-2001

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 57K, написан Visual Basic. Зараженные письма содержат различные строки, которые случайно выбираются из вариантов: Заголовок выбирается из списка: Something very special I know you will like this Yes, something I can share with you Wait till you see this! A brand new game! I hope you enjoy it Варианты текста письма: Hey you, take a look at the attached file. You won’t believe your eyes when you open it! You like games like Quake? You will enjoy this one. Did you see the pictures of me and my battery operated boyfriend? My best friend, This is something you have to see! Till next time Is Internet that safe? Check it out Имя вложения: quake4demo.exe setup.exe honey.exe Запуск червя Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). При этом червь стартует процедуру инсталляции себя в систему и выводит сообщение: При нажатии на [Next] ничего не происходит и приложение-червь прекращает свою работу. При нажатии на [Cancel] стартует процедура рассылки зараженных писем. Инсталляция Червь создает новый каталог C:EIRAM и копирует себя в систему с именами: c:eiramquake4demo.exe f:quake4demo.exe (если такой диск есть) и затем регистрирует эти файлы в ключах авто-запуска системного реестра: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun “quake”=”c:eiramquake4demo.exe” “Q4″=”f:quake4demo.exe” HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “Q4″=”c:\eiramquake4demo.exe” “quake”=”f:quake4demo.exe” Позже, при рассылке зараженных писем, червь может также создавать свои дополнительные копии в каталоге Windows, копии червя имеют имена: honey.exe quake4demo.exe setup.exe Рассылка писем При рассылке писем червь открывает адресную книгу MS Outlook и рассылает себя по всем обнаруженным адресам. Проявления Червь ищет файлы с расширениями имени: .exe, .xls, .doc, .mdb, .htm, .html, .txt, .ocx, и записывает вместо этих файлов текст: You’ve didn’t protected your files well enough Let this be a lesson! Never trust someone else eiram 1999-2001
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Quamo

Technical Details