Email-Worm.Win32.Suppl

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь, распространяющий свои копии через Интернет в виде прикрепленного к письму документа MS Word97, имя документа — SUPPL.DOC.
Червь был разослан в несколько Интернет-конференций в сентябре 1999.
Документ создан русской версией MS Word, что указывает на его
происхождение.

При инсталляции своей копии в систему червь использует метод, не работающий
под WinNT. В результате зараженными могут оказаться только системы под
управлением Win9x.

Через неделю после заражения компьютера червь уничтожает на локальных и
сетевых дисках файлы с расширениями:


DOC XLS TXT RTF DBF ZIP ARJ RAR

Способ уничтожения файлов аналогичен червю
«ZippedFiles», как результат, испорченные файлы восстановлению не подлежат.

Инсталляция

Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open,
который автоматически исполняется MS Word при открытии документа. Этот
макрос копирует свой документ в системный каталог Windows с именем
ANTHRAX.INI (этот файл затем используется как оригинал при рассылке
зараженных сообщений), затем червь создает на диске свою DLL-компоненту с
именем DLL.TMP. Код этой компоненты хранится в зараженном документе в
упакованном виде и распаковывается через временный файл DLL.LZH.

Затем червь записывает команды переименования в файл WININIT.INI (эти
команды обрабатываются Windows при очередной перезагрузке). Данные команды
переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя
WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP.
В результате этого при последующей загрузке Windows активизирует и
использует код червя вместо «настоящей» библиотеки.

Размножение

При инициализации DLL-файла червя происходит перехват всех функций сетевой
библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32
передает управление на «настоящую» библиотерку (которая грузится из файла
WSOCK33.DLL), а для функций «send» и «connect» вызывает дополнительно свои
обработчики. Эти обработчики перехватывают сообщения, отправляемые с
компьютера, и добавляют к ним Word-компоненту червя с именем SUPPL.DOC