Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 97K (упакован UPX, распакованный размер — около 132K), написан на Visual Basic.

Рассылка писем

При рассылке писем червь отрывает адресную книгу MS Outlook и рассылает зараженные письма по всем адресам. Зараженные письма содержат:

Имя вложения: ValentineCard.exe

Заголовок случайно выбирается из вариантов:

   Secret Admirer
   Somebody Loves You
   Romance from Afar
   Love at first sight
   ...when sleepers wake and yet still dream...
   Be Mine ?!
   Yours Always
   Happy Valentines
   From Me To You
   Thy eternal summer shall not fade
   I can express no kinder sign of love, than this kind kiss
   Poetry is an echo, asking a shadow to dance
   O, beauty, till now I never knew thee!
   Romantic gesture
   Good night, sweet prince, and flights of angels sing thee to thy rest

Текст письма выбирается из вариантов:

   Happy Valentines
   I hope you like the card I've attached,
   even if you don't feel the same.

   Febuary Feelings
   It's that time of year again.
   But I'm still only sedning a card to you.
   Happy Valentines
   I hope you like the card I've attached,
   even if you don't feel the same.

   Hi
   I feel like a child sending you this card
   but I just had to do it.
   Happy Valentines
   I hope you like the card I've attached,
   even if you don't feel the same.

   ...and every breath I ever took,
   every tear I ever wept,
   Every star I wished upon,
   Seemed nothing until now.
   Happy Valentines
   I hope you like the card I've attached,

   In this life we cannot do great things.
   We can only do small things with great love.
   Happy Valentines
   I hope you like the card I've attached,
   even if you don't feel the same.

В конце текста присутствует имя пользователя зараженного компьютера.

Инсталляция

Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции червь копирует себя в системный каталог Windows с именем «ValentineCard.exe» и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
14th = %SystemDir%ValentineCard.exe

где %SystemDir% — системный каталог Windows.

Проявления

Червь записывает в реестр ключ, означающий, что система уже заражена:

HKLMSoftwareMicrosoftWindowsCurrentVersion
Valentine = true

Затем червь должен проявляться различным образом, но по причине ошибки всегда происходит одно и тоже: червь создает файл «C:evil.jpg», записывает туда WAV-звук (не изображение) и открывает его. Поскольку файл имеет неправильное расширение («.jpg», а не «.wav»), система отказывается проигрывать этот файл. Если переименовать его с правильным расширением «.wav», то прозвучит текст: «Somebody loves you».

Червь также должен (но по причине ошибки этого не происходит) открыть окно своего приложения. В заголовке этого окна прокручивается текст:

I Love You !

При нажатии на кнопку окна «About» появляется сообщение:

 Flash Player
 Flash Player 4.0
 Copywrite (C) 1996-1999 Macromedia, Inc.
 http://www.macromedia.com

По четвергам червь перегружает Windows.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 97K (упакован UPX, распакованный размер — около 132K), написан на Visual Basic. Рассылка писем При рассылке писем червь отрывает адресную книгу MS Outlook и рассылает зараженные письма по всем адресам. Зараженные письма содержат: Имя вложения: ValentineCard.exe Заголовок случайно выбирается из вариантов: Secret Admirer Somebody Loves You Romance from Afar Love at first sight ...when sleepers wake and yet still dream... Be Mine ?! Yours Always Happy Valentines From Me To You Thy eternal summer shall not fade I can express no kinder sign of love, than this kind kiss Poetry is an echo, asking a shadow to dance O, beauty, till now I never knew thee! Romantic gesture Good night, sweet prince, and flights of angels sing thee to thy rest Текст письма выбирается из вариантов: Happy Valentines I hope you like the card I've attached, even if you don't feel the same. Febuary Feelings It's that time of year again. But I'm still only sedning a card to you. Happy Valentines I hope you like the card I've attached, even if you don't feel the same. Hi I feel like a child sending you this card but I just had to do it. Happy Valentines I hope you like the card I've attached, even if you don't feel the same. ...and every breath I ever took, every tear I ever wept, Every star I wished upon, Seemed nothing until now. Happy Valentines I hope you like the card I've attached, In this life we cannot do great things. We can only do small things with great love. Happy Valentines I hope you like the card I've attached, even if you don't feel the same. В конце текста присутствует имя пользователя зараженного компьютера. Инсталляция Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. При инсталляции червь копирует себя в системный каталог Windows с именем «ValentineCard.exe» и регистрирует этот файл в ключе авто-запуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th = %SystemDir%ValentineCard.exe где %SystemDir% — системный каталог Windows. Проявления Червь записывает в реестр ключ, означающий, что система уже заражена: HKLMSoftwareMicrosoftWindowsCurrentVersion Valentine = true Затем червь должен проявляться различным образом, но по причине ошибки всегда происходит одно и тоже: червь создает файл «C:evil.jpg», записывает туда WAV-звук (не изображение) и открывает его. Поскольку файл имеет неправильное расширение («.jpg», а не «.wav»), система отказывается проигрывать этот файл. Если переименовать его с правильным расширением «.wav», то прозвучит текст: «Somebody loves you». Червь также должен (но по причине ошибки этого не происходит) открыть окно своего приложения. В заголовке этого окна прокручивается текст: I Love You ! При нажатии на кнопку окна «About» появляется сообщение: Flash Player Flash Player 4.0 Copywrite (C) 1996-1999 Macromedia, Inc. http://www.macromedia.com По четвергам червь перегружает Windows.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Valcard

Technical Details