Email-Worm.Win32. Zhelatin.ch

Почтовый червь. Является приложением Windows (PE EXE-файл). Размер его компонентов варьируется в пределах от 7 до 93 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows:

  %System%\lnwin.exe

Для автоматической загрузки при каждом последующем старте ОС вирус добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lnwin.exe" = "%System%\lnwin.exe"

Также червь извлекает из своего тела следующие файлы:

      * %System%\sporder.dll — имеет размер 45 056 байт;
      * %System%\rsvp32_2.dll — имеет размер 8 704 байта.

Деструктивная активность

На зараженном компьютере выполняется команда, которая разрешает любую сетевую активность компоненту червя:

netsh firewall set allowedprogram %System%\lnwin.exe enable

Вредоносная программа создает файл, где хранит параметры собственной конфигурации:

C:\peers.ini

С периодичностью в 10 минут червь открывает URL:

http://209.123.8.***/files/ctr.php

С сайтов злоумышленника — ***n.voxgratia.org, ***n.ekiga.net и ***n.xten.com — червь получает электронные адреса и контент для отправки спам-писем, после чего осуществляет рассылку спама.