Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 21K (упакован UPX, размер распакованного вируса — около 45K).
Написан на Visual Basic.

Зараженные письма содержат:

Заголовок:Good News

Имя вложения:SoftwareKey.exe

Текст выбирается из трех вариантов:

Wanna remove the I-worms CodeRed, BadTrans, Goner, Updater, etc?
Good news for you because we’re giving you a software which removes the latest internet worms in your pc.
Included is your free software from AVP.

Hi! You are a winner of a trip to Iceland.
Included in this message is a software which can help you claim your prize.
See you there!!! Iceland.com

Hi! You have just won yourself a plane ticket to Bali, Indonesia!
Click the attachment to see how to claim your price.
This message is courtesy of YouCanSeeTheWorld.com.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении), копирует себя в каталог C:WINDOWS под именами:

C:WINDOWSSoftwareKey.exe
C:WINDOWSSYSNOM.EXE
C:WINDOWSSCANREGW.EXE>

и прописывается в автозагрузку как:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
System Monitor = c:WINDOWSSYSNOM.EXE

Затем червь выводит сообщение:

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 21K (упакован UPX, размер распакованного вируса — около 45K). Написан на Visual Basic. Зараженные письма содержат: Заголовок:Good News Имя вложения:SoftwareKey.exe Текст выбирается из трех вариантов: Wanna remove the I-worms CodeRed, BadTrans, Goner, Updater, etc? Good news for you because we’re giving you a software which removes the latest internet worms in your pc. Included is your free software from AVP. Hi! You are a winner of a trip to Iceland. Included in this message is a software which can help you claim your prize. See you there!!! Iceland.com Hi! You have just won yourself a plane ticket to Bali, Indonesia! Click the attachment to see how to claim your price. This message is courtesy of YouCanSeeTheWorld.com. Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении), копирует себя в каталог C:WINDOWS под именами: C:WINDOWSSoftwareKey.exe C:WINDOWSSYSNOM.EXE C:WINDOWSSCANREGW.EXE> и прописывается в автозагрузку как: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun System Monitor = c:WINDOWSSYSNOM.EXE Затем червь выводит сообщение:

Email-Worm.Win32.Sysnom

Technical Details