Security Lab

Email-Worm.Win32. Zhelatin.au

Email-Worm.Win32. Zhelatin.au

Почтовый червь. Является приложением Windows (PE EXE-файл).

Почтовый червь. Является приложением Windows (PE EXE-файл). Имеет размер 58448 байт.

Инсталляция

Червь генерирует следующие файлы в системном каталоге Windows:

  
      * %System%\taskdir.exe — имеет размер 58448 байт;
      * %System%\zlbw.dll — имеет размер 46592 байта;
      * %System%\adir.dll — имеет размер 4608 байт, 
  детектируется антивирусом Касперского как Email-Worm.Win32.Banwarum.f.

Для автоматического запуска при каждом последующем старте ОС вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "taskdir" = "%System%\taskdir.exe"

Червь создает в системе службу с именем «Windows Update Service», которая загружает исполняемый файл червя «%System%\taskdir.exe».

Деструктивная активность

Вредоносная программа регистрируется на сайте злоумышленника и сообщает ему сетевой адрес зараженного компьютера. Осуществляется скачивание файла настроек зомби-сети и сохранение его под именем «%System%\log.txt». Далее данные из этого файла используются для отправки спама.

Затем червь (также с сайта злоумышленника) получает тела писем для спам-рассылки вместе со списком адресатов. В процессе отправки спама используются URL-запросы к скриптам на почтовых серверах.

Компонент вируса «%System%\adir.dll» является rootkit-библиотекой, которая скрывает присутствие его файлов на винчестере, запущенные в системе процессы, а также ключи реестра, где хранятся настройки червя.

Производится загрузка, сохранение в системном каталоге Windows «%System%\taskdir~.exe» и запуск на исполнение файла по следующей ссылке:

  
  http://81.***.26.20/cp/bin/lim
  

(На момент создания описания ссылка не работала.)

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас