Email-Worm.Win32. Warezov.lb

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 103459 байт. Упакован с помощью Upack, распакованный размер — около 270 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

  %System%\msgimp43.dat
  %System%\msgimp43.exe
  %System%\msgimp43.dll

А также генерирует ключ в системном реестре:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msgimp43]
  "DllName" = "%System%\msgimp43.dll"
  "Startup" = "WlxStartupEvent"
  "Shutdown" = "WlxShutdownEvent"
  "Impersonate" = dword:00000000
  "Asynchronous" = dword:00000000

Распространение

Данный вирус распространяется при помощи рассылки ICQ-сообщений. Сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации червей семейства Warezov. В качестве адресов для загрузки используются следующие:

http://******elasutedios.com/storage/2520/
http://******aterdasetion.com/2/708/
http://******lihuitunhades.com/storage/9677/

При открытии одной из приведенных ссылок пользователю предлагается скачать и запустить файл с именем «archive.exe». Результатом выполнения файла является инсталляция новейшей версии червя в систему.

Деструктивная активность

Червь отключает различное антивирусное программное обеспечение (в том числе межсетевые экраны), установленное на зараженном компьютере.

Также вирус имеет функцию загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов на исполнение.