Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsИнтернет-червь, распространяющийся как вложенный файл в письмах электронной почты. Является приложением Win32 (PE EXE-файл). Написан на Delphi и упакован утилитой компрессии PE EXE-файлов Aspack. Упакованный размер червя Червь инсталлирует себя в систему и затем периодически получает доступ к MS Outlook и рассылает письма по адресам, обнаруженным в адресной книге. Для того, чтобы скрыть свою активность, червь маскируется под утилиту генерации персональных ID-номеров («Personal ID Generator»). Эта утилита использует строки в китайской кодировке и потому корректно отображается только под китайской версией Windows. При активизации червь показывает окно «Personal ID Generator» и в то же самое время запускает процедуру инсталляции в систему: копирует себя в каталог Windows и системный каталог Windows. В некоторых случаях червь
Для того, чтобы активизироваться при каждом старте Windows червь также регистрирует свою копию в системном реестре в секции авто-запуска:
Червь использует достаточно «хитрый» прием для того, чтобы скрыть эту запись: при запуске червь уничтожает эту запись, а при завершении работы Windows восстанавливает ее. В результате эта запись присутствует только в момент старта Windows и завершения работы Windows и не может быть Для рассылки зараженных писем червь создает дополнительный VBS-файл и записывает туда программу работы с MS Outlook. Эта программа получает доступ к адресной книге MS Outlook, случайно выбирает от 2% до 10% адресов (в зависимости от их количества) и посылает по этим адресам письма с прикрепленными файлами. Тело посылаемого письма пустое. Текст заголовка случайно выбирается из всех вариантов заголовков ранее отправленных писем («Sent items»). К письму прикрепляется 4 файла:
Список вариантов имени файла-червя выглядит следующим образом:
|
Узнай статистику распространения угроз в твоем регионе |