Email-Worm.Win32. Zhelatin.db

Почтовый червь. Является приложением Windows (PE EXE-файл). Имеет размер 64000 байт. Упакован с помощью AsPack, распакованный размер — около 151 КБ.

Инсталляция

При запуске червь извлекает из своего тела следующий файл размером 118784 байта:

%WinDir%\rsvp32_2.dll

Деструктивная активность

Вирус подгружает библиотеку «%WinDir%\rsvp32_2.dll» в следующие процессы:

alg.exe
lsass.exe
winlogon.exe
svchost.exe

Данная библиотека пытается установить соединение с сайтом злоумышленника. В случае успешного подключения происходит скачивание списка адресов для рассылки рекламы и тела спам-писем.

Встроенный в червя многофункциональный движок позволяет рассылать спам с использованием следующих протоколов:

ICQ
AIM
Yahoo Messenger
SMTP
Jabber