Email-Worm.Win32.Zafi.d

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь выдает следующее окно:

При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   "Wxp4"="C:\WINDOWS\SYSTEM32\Norton Update.exe"

Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll.

Например:

%System%\csnhzdsb.dll
  %System%\gzapvzry.dll
  %System%\hrdkwxwu.dll
  %System%\icvwceot.dll

В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере.

Также червь создает следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]

Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе.

Размножение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
  asp
  dbx
  eml
  fpt
  htm
  inb
  mbx
  php
  pmr
  sht
  tbb
  txt
  wab

Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows.

Игнорируется отправка писем на адреса, содержащие строки:

admi
  cafee
  google
  help
  hotm
  info
  kasper
  micro
  msn
  panda
  secur
  sopho
  suppor
  syman
  trend
  use
  viru
  webm
  win
  yaho

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Тема письма:

Выбирается из списка:

boldog karacsony...
  Buon Natale!
  Christmas - Kartki!
  Christmas Kort!
  Christmas pohlednice
  Christmas postikorti!
  Christmas Postkort!
  Christmas Vykort!
  ecard.ru
  Feliz Navidad!
  Joyeux Noel!
  Merry Christmas!
  Prettige Kerstdagen!
  Weihnachten card.

Текст письма:

Выбирается из списка:

Happy HollyDays!
  :) [Sender]
  
  Kellemes Unnepeket!
  :) [Sender]
  
  Feliz Navidad!
  :) [Sender]
  
  Glaedelig Jul!
  :) [Sender]
  
  God Jul!
  :) [Sender]
  
  Iloista Joulua!
  :) [Sender]
  
  Naulieji Metai!
  :) [Sender]
  
  Wesolych Swiat!
  :) [Sender]
  
  Fröhliche Weihnachten!
  :) [Sender]
  
  Prettige Kerstdagen!
  :) [Sender]
  
  Veselé Vánoce!
  :) [Sender]
  
  Joyeux Noel!
  :) [Sender]
  
  Buon Natale!
  :) [Sender]

Имя файла-вложения:

Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений:

bat
  cmd
  com
  pif
  zip

Размножение через локальные и файлообменные сети

Червь копирует свой файл во все папки, в имени которых встречаются строки:

music
  share
  upload

Имя для файла выбирается из следующих вариантов:

ICQ 2005a new!.exe
  winamp 5.7 new!.exe

Например:

c:\Program Files\Common Files\Microsoft Shared\ ICQ 2005a new!.exe

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями.