Программа-эксплойт, использующая уязвимость в обработчике файлов формата WMF
Деструктивная активность
После запуска происходит расшифровка кода эксплойта и получение адресов системных функций. Затем осуществляется попытка извлечения из данного кода другого вредоносного кода с последующим его сохранением в системном каталоге Windows под одним из случайно выбранных имен:
%System%\netupdate.exe %System%\winlog.exe %System%\winlogin.exe %System%\winupdate.exe
Рассматриваемая модификация вируса извлекает и пытается сохранить приложение, детектирующееся Антивирусом Касперского как Email-Worm.Win32.Womble.a (PE EXE-файл размером 79360 байт).
В случае если такой файл создать не удалось, выполняется получение пути к каталогу настроек программ Windows («%AppData%») посредством чтения следующего параметра реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "Local AppData"
Эксплойт пытается сохранить вредоносный код в указанном каталоге также под случайно выбранным именем:
%AppData%\Microsoft\WinTools\netupdate.exe %AppData%\Microsoft\WinTools\winlog.exe %AppData%\Microsoft\WinTools\winlogin.exe %AppData%\Microsoft\WinTools\winupdate.exe
После этого (в зависимости от настроек в файле эксплойта) происходит явный или скрытый запуск на исполнение извлеченной программы («%DroppedFilename%»), либо выполняется ее прописывание в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "windows_startup" = "%DroppedFilename%"
Если доступ для генерирования необходимых значений в этом ключе запрещен, вирус идет другим путем:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "windows_startup" = "%DroppedFilename%"