Security Lab

Email-Worm.Win32. Warezov.at

Email-Worm.Win32. Warezov.at

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 117 КБ. Упакован при помощи UPack. Размер в распакованном виде — около 470 КБ.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем t2serv.exe:

%Windir%\t2serv.exe

Также червь создает следующий файл в системном каталоге Windows:

%System%\wmnecomc.dll

Также червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"t2serv"="%Windir%\t2serv.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wmnecomc.dll e1.dll"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!