Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Интернет-червь, распространяющийся как вложенный файл в письмах электронной почты. Является приложением Win32 (PE EXE-файл). Написан на Delphi и упакован утилитой компрессии PE EXE-файлов Aspack. Упакованный размер червя
— около 200K (распакованный — около 400K).

Червь инсталлирует себя в систему и затем периодически получает доступ к MS Outlook и рассылает письма по адресам, обнаруженным в адресной книге.
Процедур уничтожения данных и прочих «вредных» подпрограмм в коде червя не обнаружено.

Для того, чтобы скрыть свою активность, червь маскируется под утилиту генерации персональных ID-номеров («Personal ID Generator»). Эта утилита использует строки в китайской кодировке и потому корректно отображается только под китайской версией Windows.

При активизации червь показывает окно «Personal ID Generator» и в то же самое время запускает процедуру инсталляции в систему: копирует себя в каталог Windows и системный каталог Windows. В некоторых случаях червь
использует фиксированные адреса каталогов Windows:

C:WINNTSYSTEM32SYSID.EXE
C:WINNTSYSID.EXE
C:WINDOWSSYSTEMSYSID.EXE
C:WINDOWSSYSID.EXE

Для того, чтобы активизироваться при каждом старте Windows червь также регистрирует свою копию в системном реестре в секции авто-запуска:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = «sysid»

Червь использует достаточно «хитрый» прием для того, чтобы скрыть эту запись: при запуске червь уничтожает эту запись, а при завершении работы Windows восстанавливает ее. В результате эта запись присутствует только в момент старта Windows и завершения работы Windows и не может быть
обнаружена стандартными методами.

Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает туда программу работы с MS Outlook. Эта программа получает доступ к адресной книге MS Outlook, случайно выбирает от 2% до 10% адресов (в зависимости от их количества) и посылает по этим адресам письма с прикрепленными файлами.

Тело посылаемого письма пустое. Текст заголовка случайно выбирается из всех вариантов заголовков ранее отправленных писем («Sent items»). К письму прикрепляется 4 файла:

файл-червь с именем, случайно выбранным из 200 вариантов (см. ниже)
один случайно выбранный файл из всех .JPEG-, .JPG-, .DOC- и .XLS-файлов из каталога «C:My Documents»
два письма, случайно выбранных из списка ранее отправленных писем («Sent items»)

Список вариантов имени файла-червя выглядит следующим образом:

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Take a Rest.exe
Take Easy.exe
Do not over time.exe
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Click Me.exe
Apple.exe
New Product Show.exe
My Resume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
New Language.exe
Key User.exe
My Letter.exe
My Sister.exe
My Mother.exe
My Father.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
How Are You.exe
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
The Young King.exe
Oscar.exe
The Happy Prince.exe
The Star Child.exe
Question.exe
Issues For Today.exe
Acknowledgments.exe
Game99.exe
True or False.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Choose Games.exe
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
New System.exe
New Job.exe
New Chance.exe
Make More Money.exe
Help Yourself.exe

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Интернет-червь, распространяющийся как вложенный файл в письмах электронной почты. Является приложением Win32 (PE EXE-файл). Написан на Delphi и упакован утилитой компрессии PE EXE-файлов Aspack. Упакованный размер червя — около 200K (распакованный — около 400K). Червь инсталлирует себя в систему и затем периодически получает доступ к MS Outlook и рассылает письма по адресам, обнаруженным в адресной книге. Процедур уничтожения данных и прочих «вредных» подпрограмм в коде червя не обнаружено. Для того, чтобы скрыть свою активность, червь маскируется под утилиту генерации персональных ID-номеров («Personal ID Generator»). Эта утилита использует строки в китайской кодировке и потому корректно отображается только под китайской версией Windows. При активизации червь показывает окно «Personal ID Generator» и в то же самое время запускает процедуру инсталляции в систему: копирует себя в каталог Windows и системный каталог Windows. В некоторых случаях червь использует фиксированные адреса каталогов Windows: C:WINNTSYSTEM32SYSID.EXE C:WINNTSYSID.EXE C:WINDOWSSYSTEMSYSID.EXE C:WINDOWSSYSID.EXE Для того, чтобы активизироваться при каждом старте Windows червь также регистрирует свою копию в системном реестре в секции авто-запуска: HKLMSoftwareMicrosoftWindowsCurrentVersionRun WindowsVersion = «sysid» Червь использует достаточно «хитрый» прием для того, чтобы скрыть эту запись: при запуске червь уничтожает эту запись, а при завершении работы Windows восстанавливает ее. В результате эта запись присутствует только в момент старта Windows и завершения работы Windows и не может быть обнаружена стандартными методами. Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает туда программу работы с MS Outlook. Эта программа получает доступ к адресной книге MS Outlook, случайно выбирает от 2% до 10% адресов (в зависимости от их количества) и посылает по этим адресам письма с прикрепленными файлами. Тело посылаемого письма пустое. Текст заголовка случайно выбирается из всех вариантов заголовков ранее отправленных писем («Sent items»). К письму прикрепляется 4 файла: файл-червь с именем, случайно выбранным из 200 вариантов (см. ниже) один случайно выбранный файл из всех .JPEG-, .JPG-, .DOC- и .XLS-файлов из каталога «C:My Documents» два письма, случайно выбранных из списка ранее отправленных писем («Sent items») Список вариантов имени файла-червя выглядит следующим образом: pdd2000.exe Tools.exe Pcc99.exe 98fix.exe Book.exe Phone.exe Car.exe Game.exe Office98fix.exe Graphics.exe ScreenSaver.exe Joke.exe Window.exe Mp3Player.exe WinAmp.exe Mouse.exe FTP_Pro.exe WWW.exe Ghost7.exe MazeGame.exe 3DS.exe Source.exe Action.exe Color.exe Color_Joke.exe GameStyle.exe HAHA.exe MyResume.exe EasyGame.exe Jonny.exe BallGame.exe MazeGame.exe MAC9.exe Desk_Demo.exe Girl.exe GirlGame.exe GoodGame.exe FreedMan.exe Hurry Up.exe Take a Rest.exe Take Easy.exe Do not over time.exe Meeting.exe Milk.exe PlayBoy.exe BadGirl.exe BadBoy.exe PenHouse.exe Tape.exe Display.exe Click Me.exe Apple.exe New Product Show.exe My Resume.exe Boss Game.exe Boy and Girl.exe WinZip9.exe Good Job.exe New Language.exe Key User.exe My Letter.exe My Sister.exe My Mother.exe My Father.exe My Picture.exe Merry.exe Happy.exe Happy New Year.exe How Are You.exe 586 Tech.exe Cell Phone.exe Sex Picture.exe The Young King.exe Oscar.exe The Happy Prince.exe The Star Child.exe Question.exe Issues For Today.exe Acknowledgments.exe Game99.exe True or False.exe Good Art.exe News.exe Stock News.exe Music.exe MP3.exe Choose Games.exe Life-Styles.exe Life-Cycles.exe Sometimes.exe Summary.exe Market.exe MP3 Tools.exe Cheat.exe New Joke.exe New System.exe New Job.exe New Chance.exe Make More Money.exe Help Yourself.exe
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Sysid

Technical Details