Вирус-червь, распространяющийся в виде вложений в электронные письма.
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Размер его компонентов варьируется в пределах от 19 до 130 КБ.
Инсталляция
При запуске червь отображает на экране следующее сообщение:
Unknown error
Затем вирус копирует свой исполняемый файл в системную папку Windows под именем «iasnx9tc.exe»:
%System%\iasnx9tc.exe
Червь генерирует следующий файл размером 113895 байт:
%System%\iasnx9tc.dll
Также создается ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iasnx9tc]
"DllName"="%System%\iasnx9tc.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
Распространение через электронную почту
Для поиска адресов жертв вредоносная программа сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
В качестве вложенного файла червь рассылает собственный компонент, обладающий функцией загрузки из Интернета других вредоносных программ.
Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы в системе, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Основной исполняемый файл данного вируса скачивает с сайтов злоумышленника различное вредоносное ПО и инсталлирует его на компьютер пользователя.
Действия рассылаемого по почте компонента
Указанный компонент рассылается основным модулем червя. На машины жертв компонент загружает файл по следующей ссылке:
http://***eradesunme.com/ntsrv32.exe
На момент создания описания по этому адресу располагалась последняя версия исполняемого файла червя.
Скачанный файл сохраняется во временную папку Windows с временным именем, после чего запускается на исполнение.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках