Email-Worm.Win32.Sysid

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Интернет-червь, распространяющийся как вложенный файл в письмах электронной почты. Является приложением Win32 (PE EXE-файл). Написан на Delphi и упакован утилитой компрессии PE EXE-файлов Aspack. Упакованный размер червя
— около 200K (распакованный — около 400K).

Червь инсталлирует себя в систему и затем периодически получает доступ к MS Outlook и рассылает письма по адресам, обнаруженным в адресной книге.
Процедур уничтожения данных и прочих «вредных» подпрограмм в коде червя не обнаружено.

Для того, чтобы скрыть свою активность, червь маскируется под утилиту генерации персональных ID-номеров («Personal ID Generator»). Эта утилита использует строки в китайской кодировке и потому корректно отображается только под китайской версией Windows.

При активизации червь показывает окно «Personal ID Generator» и в то же самое время запускает процедуру инсталляции в систему: копирует себя в каталог Windows и системный каталог Windows. В некоторых случаях червь
использует фиксированные адреса каталогов Windows:

C:WINNTSYSTEM32SYSID.EXE
C:WINNTSYSID.EXE
C:WINDOWSSYSTEMSYSID.EXE
C:WINDOWSSYSID.EXE

Для того, чтобы активизироваться при каждом старте Windows червь также регистрирует свою копию в системном реестре в секции авто-запуска:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = «sysid»

Червь использует достаточно «хитрый» прием для того, чтобы скрыть эту запись: при запуске червь уничтожает эту запись, а при завершении работы Windows восстанавливает ее. В результате эта запись присутствует только в момент старта Windows и завершения работы Windows и не может быть
обнаружена стандартными методами.

Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает туда программу работы с MS Outlook. Эта программа получает доступ к адресной книге MS Outlook, случайно выбирает от 2% до 10% адресов (в зависимости от их количества) и посылает по этим адресам письма с прикрепленными файлами.

Тело посылаемого письма пустое. Текст заголовка случайно выбирается из всех вариантов заголовков ранее отправленных писем («Sent items»). К письму прикрепляется 4 файла:

  • файл-червь с именем, случайно выбранным из 200 вариантов (см. ниже)
  • один случайно выбранный файл из всех .JPEG-, .JPG-, .DOC- и .XLS-файлов из каталога «C:My Documents»
  • два письма, случайно выбранных из списка ранее отправленных писем («Sent items»)

Список вариантов имени файла-червя выглядит следующим образом:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Take a Rest.exe
Take Easy.exe
Do not over time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Click Me.exe
Apple.exe
New Product Show.exe
My Resume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
My Letter.exe
My Sister.exe
My Mother.exe
My Father.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
How Are You.exe
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
The Young King.exe
Oscar.exe
The Happy Prince.exe
The Star Child.exe
Question.exe
Issues For Today.exe
Acknowledgments.exe
Game99.exe
True or False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Choose Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
New System.exe
New Job.exe
New Chance.exe
Make More Money.exe
Help Yourself.exe