Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 91K написан на Microsoft ИнсталляцияПри инсталляции червь копирует себя в системный каталог Windows со случайным именем:
где %rnd% является случайным числом, и регистрирует этот файл в ключе авто-запуска системного
Во все три ключа записывается по паре значений:
где %worm name% — имя файла червя без расширения, %worm file name% — полное имя червя, например:
причем дублирующее значение «.defaut» записывается, судя по всему, по причине ошибки в коде В дальнейшем червь также копирует себя с именем EXPLORER.PIF на рабочий стол компьютера. Рассылка писемЧервь ищет файлы *.HTM и *.DBX, сканирует их и выделяет строки, являющиеся электронными При отсылке письма червь дописывает в конец своего EXE-файла:
По этим данным можно отследить «миграцию» данной конкретной копии червя. Зараженные письма содержат указанные ниже поля, при этом %RegisteredOwner% и Заголовок случайно (в зависимости от «поколения» червя) выбирается из вариантов:
Последний (третий) вариант выбирается если ключ реестра RegisteredOrganization не обнаружен. Текст также выбирается в зависимости от «поколения» червя:
или:
Имена вложений могут быть различными, например:
где текст после «WIN» является случайным (в данном случае — «40B1»). При этом в зависимости от Червь использует две уязвимости в системе защиты почтовых систем и на незащищенных системах
ПроявленияЧервь ищет процессы, которые являются антивирусами, отладчиками и межсетевыми экранами и Червь записывает на диск файл, зараженный вирусом «Win32.Funlove», и запускает его на В цикле червь открывает Web-сайт http://www.symantec.com (организует таким образом DoS-атаку на сервер). Червь выводит сообщение:
Червь также содержит зашифрованные строки:
|
Узнай статистику распространения угроз в твоем регионе |