Security Lab

Email-Worm.Win32. Warezov.mx

Email-Worm.Win32. Warezov.mx

Вирус-червь. Является приложением Windows (PE EXE-файл).

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 89116 байт. Упакован с помощью Upack, размер в распакованном виде — около 237 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

  %System%\msjidpmo.dll
  %System%\msssmsda.dll
  %System%\msssmsda.exe
  

Также генерируется ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda]
"DllName" = "%System%\msssmsda.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение

Данный вирус распространяется при помощи рассылки ICQ-сообщений.

Сообщения содержат текст «Try it», после которого следует ссылка:

http://***.cuhasefunjinksa.com/1/6696/

После открытия URL в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «flash.exe», являющийся последней модификацией семейства Warezov.

Деструктивная активность

Червь подгружает свой компонент под именем «%System%\msjidpmo.dll» в следующие процессы:

services.exe
zlclient.exe
iexplore.exe
mpftray.exe
svchost.exe
outpost.exe
firefox.exe
ccapp.exe
zapro.exe
opera.exe
tsmc.exe

Вирус отключает антивирусное программное обеспечение, установленное на компьютере, а также межсетевые экраны.

Червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь