Email-Worm.Win32.Tetris

Класс Email-Worm
Платформа Win32
Описание

Technical Details

IRC-червь, распространяющийся по IRC-каналам. Представляет из себя приложение Win32 (PE EXE-файл) размера около 70K. Код червя содержит две основные процедуры, обе из которых активизируются при запуске червя. Первая процедура заражает компьютер; вторая процедура эмулирует популярную игру Tetris (для скрытия процесса инсталляции червя в компьютер).

При заражении компьютера червь ищет клиента mIRC в четырех каталогах:

C:Mirc
C:Program Filesmirc
D:mirc
D:Program Filesmirc

Если mIRC-клиент обнаружен, червь создает дополнительные файлы:

C:Windowsscript.bak – mIRC-скрипт (затем будет скопирован в каталог mIRC)
C:backup.vbs – VBS-программа, которая затем завершает заражение компьютера
C:Windowssystem.exe – копия червя

Файл “C:backup.vbs” затем регистрируется в секции авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SysFile = C:Backup.vbs

В результате VBS-компонента червя активизируется при каждой загрузке компьютера и завершает инсталляцию червя в систему:

C:Windowsscript.bak копируется в каталог mIRC с именем “script.ini”
C:Windowssystem.exe копируется в файл C:tetris.exe

Файл-скрипт “script.ini” затем отсылает зараженный файл “C:tetris.exe” всем, кто подключается к зараженному IRC-каналу.

Узнай статистику распространения угроз в твоем регионе