Червь, распространяющийся через сервис Skype.
Инсталляция
При запуске вирус извлекает из своего исполняемого файла во временную папку Windows следующий файл размером 74880 байт:
%Temp%\sandra.jpg
C целью маскировки своего основного функционала червь открывает созданный файл в установленной по умолчанию программе просмотра изображений.
Вредоносная программа копирует свой исполняемый файл в системный каталог Windows:
%System%\Skype.exe
Ссылка на файл добавляется в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkypeStartup" = "%System%\Skype.exe"
Таким образом, при каждом последующем старте ОС автоматически запускает файл червя.
Вирус извлекает из своего тела еще один файл (размер — 57344 байт):
%System%\Invisible002.dll
Извлеченный файл регистрируется в системе, в результате чего генерируется ключ реестра:
[HKCR\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]
@ = "Invisible"
[HKCR\CLSID\{7FB39839-665D-4D47-873C--D3FD9009FC3B}\InprocServer32]
@ = "%System%\Invisible002.dll"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{7FB39839-665D-4D47-873C--D3FD9009FC3B}\TypeLib]
@ = "{7FB39839-665D-4D47-873C--D3FD9009FC3B}"
Также червь создает следующие ключи реестра:
[HKCU\Software\SkypeWorm\cfg]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{7FB39839-665D-4D47-873C-D3FD9009FC3B}]
Деструктивная активность
Червь производит поиск в системе окон приложения Skype. Если находит, то, используя специальный API-интерфейс для управления данной программой извне, отправляет всем адресатам из контакт-листа пользователя сообщения со ссылкой на свою последнюю модификацию.
Текст сообщения выбирается произвольным образом из списка:
matei kur sandros foto idejo?
http://www.papai.ru/foto_galerija/***
ziurek kur sandros foto imeciau
http://www.papai.ru/foto_galerija/***
kaip tau tokia? :D http://www.papai.ru/foto_galerija/***
paziurek kokia foto andrius atsiunte
http://www.papai.ru/foto_galerija/***
bet cia nesveikai http://www.papai.ru/foto_galerija/***
:D http://www.papai.ru/foto_galerija/***
uj netau sry http://www.papai.ru/foto_galerija/***
netau cia http://www.papai.ru/foto_galerija/***
oi netau cia turejo but sory
http://www.papai.ru/foto_galerija/***
Также вирус получает с сайта злоумышленника URL для загрузки файла из Интернета, производит скачивание и сохраняет файл в системный каталог Windows («%System%»).
В случае успешной загрузки файл запускается на исполнение.
Спойлер: мы раскрываем их любимые трюки