Email-Worm.Win32.Vybab

Teknik detaylar

Bu solucan, Internet üzerinden virüslü mesajlara ek olarak yayılır. Ayrıca EXE dosyalarını da bulaştırabilir.

Borland Delphi'de yazılmış bir PE EXE dosyasıdır ve yaklaşık olarak 140 KB boyutundadır.

Kurulum

Kendini sisteme yüklerken, solucan Windows dizininde 123.txt adlı bir dosya oluşturur. Bu dosya aşağıdaki metin dizesini içerir:

 babyv; Ran yapılan 

Ayrıca kök dizinde ve Windows dizininde dosyalar oluşturur. Bu dosyaların adları üç rastgele karakterden ve aşağıdaki uzantılardan oluşturulur:

 yarasa
exe
htm
rar
doktor
xls 

Bu dosyalar solucanın gövdesini içermez.

Solucan kendisini C: kök dizininde seeyou.rar adında geçici bir dosyaya kopyalar.

Ayrıca Windows geçici dizininde echo.vbs adlı bir dosya oluşturur. Bu dosya, solucanın e-posta yoluyla yayılmasını sağlayan komut dosyasını içerir.

E-posta yoluyla yayılma

Solucan veya virüslü dosyalardan biri her başlatıldığında, solucan kendisini MS Outlook adres defterindeki tüm adreslere gönderir. Enfekte e-postalar aşağıdaki karakteristiklere sahiptir:

Mesaj başlığı:

 Microsoft Pack3, o) 

Mesaj metni:

 Merhaba:
Bu Microsoft istemci sunucu merkezi
Şuna göz at! 

EXE dosyaları bulaşıyor

Solucan ilk kez başlatıldığında, Program Files dizininde ve solucanın başlatıldığı dizinde yer alan EXE dosyalarını bozar. Kendisini bu dosyaların başına yazar.

Bundan sonra solucan, tüm dizinleri tüm erişilebilir sürücüler üzerinde arar ve bulunan tüm EXE dosyalarını bozar.

Virüs bulaşmış bir dosya başlatıldığında, virüs kendisini mevcut her sürücünün kök dizinine kopyalar ve kendini e-postayla gönderir. Orijinal bulaşmamış dosya Windows geçici dizinine kaydedilir ve solucan enfeksiyon işlemini tamamladığında kontrolü yeniden oluşturur.