Worm.Win32.Drew.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 30KB, упакован MEW. Размер распакованного файла около 168KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "winlogoff.exe".

Затем изменяет следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell"="Explorer.exe winlogoff.exe"

Червь создает уникальный идентификатор "KiPiSx017ZxQ" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hello
  Hi
  love
  Re:kiss
  Re:Love

Текст письма:

Выбирается из списка:

Hello! I love sex, is you?
  Hello baby,this is me screen!
  Hello this is me present! Cool screen. Bye.
  I Love You!:)
  Your Present! Scrren is me faice:) Bye baby!

Имя файла-вложения:

Выбирается из списка:

FACE.SCR
  I LOVE YOU.SCR
  LOVE.SCR
  PRESENT.SCR
  SCREEN.SCR

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 25 для соединения с mx1.hotmail.com.

Действие

Worm.Win32.Drew.a выгружает из системы различные межсетевые экраны и антивирусные программы.