Email-Worm.Win32.Sint

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Интернет-червь, распространяющийся в вложениях в электронные письма. Для своего распространения использует MS Outlook. Является 30-килобайтной Win32-программой. Написан на Visual Basic.

При запуске червь копирует себя в каталоги Windows с именами:

C:WindowsVicevi_teza_odvala.txt.exe
C:windowssystemVicevi_teza_odvala.txt.exe

Второй файл регистрируется в ключе авто-запуске системного реестра:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Sintesys = c:windowssystemVicevi_teza_odvala.txt.exe

Имя каталога Windows «C:Windows» «прошито» в коде червя, по этой причине он неспособен установить себя в систему, если имя каталога Windows отличается от указанного.

Червь также копирует себя с тем же именем в корневые каталоги всех доступных логических дисков (локальных и удаленных).

Затем червь подключается к почтовой системе MS Outlook, считывает из адресной книги все адреса и рассылает по ним сообщения:

Заголовок: Vicevi!
Имя вложения: Vicevi_teza_odvala.txt.exe

Текст письма выбирается случайно из 4-х вариантов:

Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti neke viceve koji cete sigurno oraspoloziti!

Vozdra! Evo pogledaj ove viceve koje sam i ja dobio neki dan! Pravo su smijesni!

Cao korisnice! Znam da sigurno nemas vremena da pogledas ove viceve koje ti saljem. Nadam se da ces imati vremena da ih pogledas!

Zdravo! Nemoram ti nista pricati…samo pogledaj ovu veliku kolekciju viceva 😉

Vicevi!- Message
  Cao! Izvini sto te uznemiravam ovako, ali evo saljem ti
  neke viceve koji cete sigurno oraspoloziti!

Чтобы скрыть свою активность, червь выводит сообщения:

...cash!
  Raspakuj viceve!

WinZip SelfExtractor: Warning
  CRC error: 234#21