Email-Worm.Win32.Atak.h

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 11KB (упакован FSG, размер распакованного файла - около 25KB).

Зараженные письма

Тема:

Выбирается из следующих:

Happy New Year!
  Merry X-Mas!

Текст:

Выбирается из следующих:

Happy New year and wish you good luck on next year!
  Mery Chrismas & Happy New Year! 2005 will be the beginning!

Имя файла-вложения:

Выбирается из следующих:

bat.zip
  com.zip
  pif.zip
  scr.zip

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь не загружает себя в память повторно.

Инсталляция

При инсталляции червь копирует себя с именем "dec25.exe" в системный каталог Windows и модифицирует файл "win.ini" для своего последующего запуска - добавляет полное имя файла "dec25.exe" в ключ "run" секции [windows]:

[windows]
  run=%SystemDir%\dec25.exe

Рассылка писем

При рассылке писем использует червь использует прямое подключение к SMTP-серверу получателя.

Червь сканирует файлы на дисках зараженного компьютера с расширениями из приводимого ниже списка с целью получения электронных адресов, по которым впоследствии производится рассылка зараженных писем.

asp
  dbx
  eml
  jsp
  htm
  mht
  msg
  php
  txt