Email-Worm.Win32.Sidex

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по локальной сети. Червь является приложением Windows (PE EXE-файл), имеет размер около 107K (упакован PCShrink, размер
распакованного файла около 202K), написан на Delphi.

Зараженные письма содержат:
Заголовок:Sites Pornos
Текст:


Tudo bem to te enviando uma lista dos melhores sites pornos da uma olhada depois me avisa c voce gostou atщ mais um Abraчуo Do seu melhor amigo 😉

Имя вложения: SitesDeSexo.doc.exe

Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Червь при этом инсталлирует себя в систему и активизирует процедуры распространения.

Инсталляция

Червь копирует себя в системный каталог Windows под именем VxBrasil.exe и регистрирует этот файл в команде авто-запуска в файле WIN.INI:


[windows]
run=%SystemDir%VxBrasil.exe

где %SystemDir% является именем системного каталога Windows.

Рассылка писем

При рассылке писем использует функции Windows MAPI и «отвечает» на письма из почтового ящика.

Заражение локальной сети

Червь перебирает все доступные сетевые диски, ищет на них каталоги, содержащие файл WIN.INI, копирует себя туда с именем «666hacked.exe» и регистрирует эту копию в команде авто-запуска в файле WIN.INI.

Прочее

Червь также устанавливает на зараженные машины бекдор-троянца «Backdoor.DRA».
Код троянца хранится в ресурсах червя, при активизации червь записывает его в файлы C:ALEVIRUS.EXE и C:BACK.EXE и запускает на выполнение.

Червь также создает файл-«обманку» C:SitesDeSexo.doc, записывает в него текст:


Estes sуo os melhores sites de SEXO da internet confira 🙂

и список порно-сайтов и затем показывает этот файл.