Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 110 КБ. Упакован при помощи UPX. Размер в распакованном виде – около 235 КБ.
Инсталляция
При инсталляции червь копирует себя в корневой каталог Windows с именем "cservv32.exe":
%WinDir%\cservv32.exe
Также червь создает следующие файлы в системном и корневом каталогах Windows:
%System%\e1.dll (20 480 байт)
%Windir%\cservv32.s
%Windir%\cservv32.wax
%Windir%\cservv32.dat
Также червь создает следующие записи в системном реестре:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"cservv32" = "%Windir%\cservv32.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "e1.dll"
т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Тема письма:
Выбирается произвольным образом из списка:
Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test
Текст письма:
Выбирается произвольным образом из списка:
Mail transaction failed. Partial message is available.
__________________________
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
__________________________
The message contains Unicode characters and has been sent as a binary attachment.
__________________________
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from
your computer.
Nowadays it happens from many computers, because this is a new virus type
(Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses
and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Имя файла вложения:
body
data
doc
docs
document
file
message
readme
test
text
Update-KB<случайные цифры>-x86
В качестве файла вложения червь рассылает свою компоненту, которая может загружать из интернета другие вредоносные программы. Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Warezov.gl
Деструктивная активность
Действия основного модуля червя
Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.
Действия рассылаемого по почте компонента
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.
Размер данного файла - 23 556 байт.
После запуска на компьютере данный файл открывает окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).
При инсталляции данный файл создает в системном каталоге Windows свою копию со случайным именем.
Рассылаемый червем компонент содержит в себе список URL адресов, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.
Но доступ к знаниям открыт для всех