Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB.
Червь содержит в себе бэкдор-функцию.
После запуска червь выдает следующее окно:
При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Wxp4"="C:\WINDOWS\SYSTEM32\Norton Update.exe"
Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll.
Например:
%System%\csnhzdsb.dll %System%\gzapvzry.dll %System%\hrdkwxwu.dll %System%\icvwceot.dll
В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере.
Также червь создает следующую запись в системном реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]
Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе.
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adb asp dbx eml fpt htm inb mbx php pmr sht tbb txt wab
Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows.
Игнорируется отправка писем на адреса, содержащие строки:
admi cafee google help hotm info kasper micro msn panda secur sopho suppor syman trend use viru webm win yaho
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.
Выбирается из списка:
boldog karacsony... Buon Natale! Christmas - Kartki! Christmas Kort! Christmas pohlednice Christmas postikorti! Christmas Postkort! Christmas Vykort! ecard.ru Feliz Navidad! Joyeux Noel! Merry Christmas! Prettige Kerstdagen! Weihnachten card.
Выбирается из списка:
Happy HollyDays! :) [Sender] Kellemes Unnepeket! :) [Sender] Feliz Navidad! :) [Sender] Glaedelig Jul! :) [Sender] God Jul! :) [Sender] Iloista Joulua! :) [Sender] Naulieji Metai! :) [Sender] Wesolych Swiat! :) [Sender] Fröhliche Weihnachten! :) [Sender] Prettige Kerstdagen! :) [Sender] Veselé Vánoce! :) [Sender] Joyeux Noel! :) [Sender] Buon Natale! :) [Sender]
Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений:
bat cmd com pif zip
Червь копирует свой файл во все папки, в имени которых встречаются строки:
music share upload
Имя для файла выбирается из следующих вариантов:
ICQ 2005a new!.exe winamp 5.7 new!.exe
Например:
c:\Program Files\Common Files\Microsoft Shared\ ICQ 2005a new!.exe
Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.
Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.
Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями.
Спойлер: она начинается с подписки на наш канал