Email-Worm.Win32. Warezov.jv

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из интернета новейшие обновления червя с различных сайтов злоумышленника.

Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ. Инсталляция

При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:

%WinDir%\tpup.exe

Извлекает из своего тела файл e1.dll (размер 6144 байт):

%System%\e1.dll

Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 tpup=%WinDir%\tpup.exe s

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
 AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.

Найденные адреса электронной почты сохраняются в файле:

%WinDir%\tpup.wax

Деструктивная активность

По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:

Тема письма выбирается из списка:

    * Error
    * Good Day
    * hello
    * Mail Delivery System
    * Mail server report
    * Mail Transaction Failed
    * picture
    * Server Report
    * Status
    * test

Текст письма выбирается из списка:

    * Mail transaction failed. Partial message is available.
    * The message cannot be represented in 7-bit ASCII encoding and has been sent 
       as a binary attachment.
    * The message contains Unicode characters and has been sent as a binary attachment.
    * Mail server report.

      Our firewall determined the e-mails containing worm copies are being sent from 
      your computer.

      Nowadays it happens from many computers, because this is a new virus type 
      (Network Worms).

      Using the new bug in the Windows, these viruses infect the computer unnoticeably.
       After the penetrating into the computer the virus harvests all the e-mail 
       addresses and sends the copies of itself to these e-mail addresses

      Please install updates for worm elimination and your computer restoring.

      Best regards,
      Customers support service

Имя файла вложения содержит следующие строки в своем имени:

    * body
    * data
    * doc
    * docs
    * document
    * file
    * message
    * readme
    * test
    * text
    * Update-KB<случайные цифры>-x86

И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.

В процессе работы создает файлы:

%WinDir%\tpup.dat
%WinDir%\tpup.s

Компонент червя:

%System%\e1.dll

Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.

Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.