Security Lab

Email-Worm.Win32. Warezov.la

Email-Worm.Win32. Warezov.la

Вирус-червь, распространяющийся в виде вложений в электронную почту.

Вирус-червь, распространяющийся в виде вложений в электронную почту. Причём червь прикладывает к письмам не собственную копию, а только компонент, который может загружать из Интернета другие вредоносные программы.

Зараженные письма рассылаются по всем найденным на компьютере электронным адресам.

Программа является приложением Windows (PE EXE-файл). Размер ее компонентов варьируется в пределах от 89 до 114 КБ.

Инсталляция

При инсталляции червь копирует свой исполняемый файл в системный каталог Windows:

%System%\dxtmmnmd.exe

Также червь извлекает из своего тела следующий файл:

%System%\dxtmmnmd.dll

Распространение через e-mail

С целью поиска адресов будущих жертв вирус сканирует адресные книги MS Windows.

При рассылке зараженных писем червем используется собственная SMTP-библиотека.

Характеристики зараженных писем

Тема письма

Выбирается произвольным образом из списка:

  Error
  Good Day
  hello
  Mail Delivery System
  Mail server report
  Mail Transaction Failed
  picture
  Server Report
  Status
  test

Текст письма

Произвольным образом выбирается один из следующих вариантов:

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses.

Please install updates for worm elimination and your computer restoring.

Best regards, Customers support service

Имя файла вложения

body 
data
doc
docs
document
file
message
readme
test
text
Update-KB<случайные цифры>-x86

Файлы вложения имеют расширения «.zip» или «.txt.exe».

В качестве этих файлов червь рассылает свой компонент, способный загружать из Интернета другое вредоносное программное обеспечение.

Деструктивная активность

Действия основного модуля червя

Данный представитель семейства Warezov останавливает и отключает службы следующих брандмауэров:

Sygate Personal Firewall
Zone Labs ZoneAlarm
Windows Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee.com Personal Firewall
Kerio WinRoute

Деструктивная деятельность рассылаемого компонента

Названный компонент распространяется по электронной почте при помощи основного модуля червя. Функция компонента заключается в скрытой загрузке на компьютер пользователя файла по ссылке:

kuturoisus.com/***/965/e/b****

(На момент создания описания данный URL не открывался.)

Скачанный файл сохраняется в системную папку Windows со случайным именем и расширением .exe, после чего запускается на исполнение.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!