Security Lab

I-Worm.Pawur.a

I-Worm.Pawur.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 51КБ (упакован UPX, размер распакованного файла - около 70КБ).

Инсталляция

После запуска червь может вывести на экран следующее окно:

Заголовок:

Error interno

Текст сообщения:

Documento interno danado, reinstale la aplication asociada para poder visualizarlo
Mas informacion http:/ /www.microsoft.com El programa so cerrara.

При инсталляции червь копирует себя в системный каталог Windows под именем "Command.pif" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Messenger6"="%WinSysDir%\command.pif"

Далее червь создает в системном каталоге Windows и запускает файлы "Paula.pif" и "Svchosl.pif" и создает запись в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Svchost"="%System%\svchosl.pif"

После запуска "Paula.pif" создает следующие файлы в системной папке Windows:

m.zip - содержит копию вируса
  ss.exe - программа-шутка
  sz.exe - не является вредоносной программой
  sx.exe и sw.exe - компоненты червя

Распространение через email

Червь рассылает по всем найденным на зараженном компьютере адресам электронной почты созданный им zip файл в виде вложения.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

re:Amor verdadero
  re:Como el aire...
  re:Crees que puede ser verdad?
  re:Dejate de rollos y viv
  re:Eso con queso rima con...xD
  re:La Luna
  re:Neptuno y Mercurio
  re:Psicolog
  re:Voodoo un tanto ps...
  re:xD no me lo puedo creer!!

Текст письма:

Выбирается произвольным образом из списка:

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo
  Esa moribunda y solitaria Luna,Impresionante!chao.
  Mira lo que te mando y ya veras que los detalles mas pequenos
  No comment,xDD ,Nos vemos!!
  No veas que cosas xD,luego me cuentas,chao.
  Que relacion tienen estos planetas?,miralo y luego me cuentas,chao.
  Renvialo a todo que es que se meannn xD,nos vemos!
  Sera cierta la magia negra?,sal de dudas y ya me cuentas,chao.
  son los que importan,ciaoo
  Test para ver si andas bien de las neuronassss!xD,luego hablamos,chao.
  Ver es creer!!!!chaoo.

Имя файла-вложения:

Выбирается произвольным образом из списка:

D-Incognito.zip
  EL_rechazo.zip
  Love-Me.zip
  Moon(Luna).zip
  My life(Mi vida).zip
  Para-Brisas.zip
  Planetario.zip
  Psiquico-Mix.zip
  Rimaz.zip
  Voodoo!.zip

Действие

I-Worm.Pawur.a пытается удалить на зараженном компьютере файлы, имеющие следующие расширения:

asm
  asp
  bat
  bdsproj
  bmp
  c
  css
  doc
  dot
  dpr
  gif
  h
  htm
html
  inf
  ini
  iso
  jpeg
  jpg
  log
  mdb
  mp3
  msi
  nfm
  nrg
  pas
pcx
  pdf
  php
  ppt
  rar
  reg
  rpt
  txt
  vb
  vbs
  wav
  xls

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!