Email-Worm.Win32.Tetris

Класс Email-Worm
Платформа Win32
Описание

Technical Details

IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер).

При заражении компьютера червь ищет клиента mIRC в четырех каталогах:

C:Mirc
C:Program Filesmirc
D:mirc
D:Program Filesmirc

Если mIRC-клиент обнаружен, червь создает дополнительные файлы:

C:Windowsscript.bak — mIRC-скрипт (затем будет скопирован в каталог mIRC)
C:backup.vbs — VBS-программа, которая затем завершает заражение компьютера
C:Windowssystem.exe — копия червя

Файл «C:backup.vbs» затем регистрируется в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C:Backup.vbs

В результате VBS-компонента червя активизируется при каждой загрузке компьютера и завершает инсталляцию червя в систему:

C:Windowsscript.bak копируется в каталог mIRC с именем «script.ini»
C:Windowssystem.exe копируется в файл C:tetris.exe

Файл-скрипт «script.ini» затем отсылает зараженный файл «C:tetris.exe» всем, кто подключается к зараженному IRC-каналу.