Security Lab

Email-Worm.Win32. Warezov.ms

Email-Worm.Win32. Warezov.ms

Вирус-червь, распространяющийся в виде вложений в электронные письма.

Вирус-червь, распространяющийся в виде вложений в электронные письма. В них червь помещает не свою копию, а компонент, который может загружать из сети Интернет другие вредоносные программы.

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Размер его компонентов варьируется в пределах от 19 до 130 КБ.

Инсталляция

При запуске червь отображает на экране следующее сообщение:

Unknown error 

Затем вирус копирует свой исполняемый файл в системную папку Windows под именем «iasnx9tc.exe»:

%System%\iasnx9tc.exe

Червь генерирует следующий файл размером 113895 байт:

%System%\iasnx9tc.dll

Также создается ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iasnx9tc]
"DllName"="%System%\iasnx9tc.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

Распространение через электронную почту

Для поиска адресов жертв вредоносная программа сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

В качестве вложенного файла червь рассылает собственный компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Деструктивная активность

Действия основного модуля червя

Червь имеет возможность завершать различные процессы в системе, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Основной исполняемый файл данного вируса скачивает с сайтов злоумышленника различное вредоносное ПО и инсталлирует его на компьютер пользователя.

Действия рассылаемого по почте компонента

Указанный компонент рассылается основным модулем червя. На машины жертв компонент загружает файл по следующей ссылке:

http://***eradesunme.com/ntsrv32.exe

На момент создания описания по этому адресу располагалась последняя версия исполняемого файла червя.

Скачанный файл сохраняется во временную папку Windows с временным именем, после чего запускается на исполнение.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!