Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Содержит «бекдор»-процедуру. Червь является приложением Windows (PE EXE-файл), имеет размер около 35K упакован Petite, размер распакованного файла — около 75K), написан на Microsoft Visual C++. Зараженные письма содержат тексты, которые зависят от дня месяца и поддержки итальянского языка:
Тело письма начинается со строки «Hello,» или «Ciao,», затем следует один из текстов:
Тело письма завершается строкой «A presto…» или «Bye.» Возможные имена вложений:
Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
При инсталляции червь копирует себя с именем DLLMGR32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
Затем червь выводит ложное сообщение об ошибке:
При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу, считывает адреса из адресной базы WAB (Windows Address Book) и рассылает по ним зараженные сообщения.
Бекдор-процедура открывает соединение на порту 5001 и слушает команды удаленного «хозяина». Выполняются следующие команды:
«HELO» — отвечает текстом «Hello, guy»
12 января выводится сообщение: |
Узнай статистику распространения угроз в твоем регионе |