Email-Worm.Win32.Vybab

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Кроме этого червь способен заражать EXE-файлы.

Червь является приложением Windows (PE EXE-файл), имеет размер около 140KB, написан на Borland Delphi.

Инсталляция

При инсталляции в систему червь создает в каталоге Windows файл с именем 123.txt, содержащий текстовую строку:

babyv ; made of Ran

Кроме того, червь создает в корневых каталогах всех доступных дисков, а также в каталоге Windows, файлы с произвольным трехсимвольным именем и расширением, выбираемым из списка:

bat
exe
htm
rar
doc
xls

Данные файлы не содержат в себе тела червя.

Затем червь копирует себя во временный файл seeyou.rar в корневом каталоге диска C:.

Создает во временном каталоге Windows файл echo.vbs, который содержит скрипт для размножения по электронной почте.

Размножение через Email

При каждом своем запуске (в том числе и при запуске зараженных файлов) червь рассылает себя по всем адресам, найденным в адресной книге MS Outlook. Зараженные письма имеют следующий вид:

Тема:

Microsoft Pack3, ;o)

Текст:

Hi:
This is Microsoft client server center
Check This!

Заражение EXE-файлов

При первом запуске червь заражает EXE-файлы в каталоге «Program Files», а также в каталоге, из которого был запущен червь, записываясь в начало файла. В дальнейшем червь последовательно обходит все каталоги на доступных дисках и заражает все найденные EXE-файлы.

При запуске зараженного файла он копируется в корневой каталог всех доступных дисков и рассылается по электронной почте. Оригинальный, незараженный файл сохраняется во временном каталоге Windows и получает управление после того, как червь завершает свою работу.