Почтовый червь. Является приложением Windows (PE EXE-файл).
Инсталляция
Червь генерирует следующие файлы в системном каталоге Windows:
* %System%\taskdir.exe — имеет размер 58448 байт; * %System%\zlbw.dll — имеет размер 46592 байта; * %System%\adir.dll — имеет размер 4608 байт, детектируется антивирусом Касперского как Email-Worm.Win32.Banwarum.f.
Для автоматического запуска при каждом последующем старте ОС вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "taskdir" = "%System%\taskdir.exe"
Червь создает в системе службу с именем «Windows Update Service», которая загружает исполняемый файл червя «%System%\taskdir.exe».
Деструктивная активность
Вредоносная программа регистрируется на сайте злоумышленника и сообщает ему сетевой адрес зараженного компьютера. Осуществляется скачивание файла настроек зомби-сети и сохранение его под именем «%System%\log.txt». Далее данные из этого файла используются для отправки спама.
Затем червь (также с сайта злоумышленника) получает тела писем для спам-рассылки вместе со списком адресатов. В процессе отправки спама используются URL-запросы к скриптам на почтовых серверах.
Компонент вируса «%System%\adir.dll» является rootkit-библиотекой, которая скрывает присутствие его файлов на винчестере, запущенные в системе процессы, а также ключи реестра, где хранятся настройки червя.
Производится загрузка, сохранение в системном каталоге Windows «%System%\taskdir~.exe» и запуск на исполнение файла по следующей ссылке:
http://81.***.26.20/cp/bin/lim
(На момент создания описания ссылка не работала.)
Первое — находим постоянно, второе — ждем вас