Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.

Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.

Инсталляция

После запуска червь выдает следующее окно:

При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:

%Windir%Mstray.exe

При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла:

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "RavTimeXP"="%Windir%Mstray.exe"

Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
 "Hidden"=0

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

MS?DOS????

Текст письма:

???????? MS-DOS????????????????

Имя файла-вложения:

MShelp.EXE

Прочее

Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства. Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ. Инсталляция После запуска червь выдает следующее окно: При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows: %Windir%Mstray.exe При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла: После чего червь регистрирует себя в ключе автозапуска системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "RavTimeXP"="%Windir%Mstray.exe" Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов: [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced] "Hidden"=0 Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент. Характеристики зараженных писем Тема письма: MS?DOS???? Текст письма: ???????? MS-DOS???????????????? Имя файла-вложения: MShelp.EXE Прочее Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Rays