Email-Worm.Win32.Salga.a
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена, открытым сетевым ресурсам и IRC-каналам.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена, открытым сетевым ресурсам и IRC-каналам.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows, имеет размер около 36КБ, упакован MEW. Размер распакованного файла около 307КБ.
Инсталляция
При инсталляции червь копирует себя в папку автозагрузки с именем "egy~1.exe".
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\egy~1.exe
После запуска червь создает различные папки, в которые копирует себя под следующими именами:
%ProgramFiles%\Accessories\BRITNY SPEARS MARRAGE.zip...............exe
%ProgramFiles%\Accessories\Details of new friends.zip...............exe
%ProgramFiles%\Accessories\Details.zip...............exe
%ProgramFiles%\Accessories\hard sex files.zip...............exe
%ProgramFiles%\Accessories\Is Bnladen realy cow boy.zip...............exe
%ProgramFiles%\Accessories\kasper2005.zip...............exe
%ProgramFiles%\Accessories\Nicole Kidman.zip...............exe
%ProgramFiles%\mirc\Britny spears marriage with Bnladen son.zip.exe
%ProgramFiles%\mirc32\Britny spears marriage with Bnladen son.zip.exe
%Windir%\acdsee demo.exe
%Windir%\All Users\Desktop\sex cam\sex photoes of monika.zip.exe
%Windir%\All Users\Start Menu\Programs\StartUp\ana~1.exe
%Windir%\Start Menu\inter net speeder.zip.exe
%Windir%\start menu\programs\new chat prog.zip.exe
%Windir%\system\system copy.exe
%Windir%\system32\egywormo[gen1].exe
C:\Britny spears marrage with Bnladensun.zip
C:\Britny\NEW FILM.ZIP.EXE
C:\Documents and Settings\All Users\DESKTOP\holywood stuff film.zip.exe
C:\Documents and Settings\All Users\Start Menu\nicole kidman sexy cam.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\magic graphices maker.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\your sexy cam.zip.exe
C:\hard core hook from web\setup.zip.exe
D:\FUN.ZIP.EXE
D:\girlfriends emails.zip.exe
D:\hook all sex movies from webs\setup.zip.exe
E:\blood of fetch sex.zip.exe
E:\Messenger 9.00.ZIP.EXE
E:\real sex telephones\me.zip.exe
Затем регистрирует себя в ключе автозапуска системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "system xp"="%Windir%\acdsee demo.exe" "windows"="%Windir%\system\system copy.exe"
Также червь создает следующие ключи реестра:
[HKEY_CURRENT_USER\Software\Kazaa\Transfer] "StartKazaa -SilentRun"="%ProgramFiles%\Kazaa\My Shared Folder\Shared"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares] "Britny"
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.
Характеристики зараженных писем
Червь отправляет два почтовых сообщения, одно из которых отсылается автору вируса, а другое - потенциальной жертве.
Характеристики письма, отправляемого автору вируса:
Адрес получателя:
mgasalgya_4ever@hotmail.com
Тема письма:
Выбирается из списка:
Sir new victem Egywormo give her sir email of victem
Текст письма:
Hi:sir i'm your server Egywormo[gen1] this is new victem who has own outlook machine i caputre his contacts and go there to infect them.... ok i'll go now and see you soon when i infect more ......bibi sir
<password of victem email>
Характеристики письма, отправляемого потенциальной жертве:
Тема письма:
Выбирается из списка:
Nicole kidman secrets BRITNY SPEARS MARRAGE Is Bnladen realy cow boy To contact new friends Chance for holyday New version of kasper fire wall SEXY FILES
Текст письма:
Выбирается из списка:
Hi,this is secret files of <<Nicole Kidman>> contain her sexy photoes in Florida,her credits ,part of her new film {Bn-laden days} and her telephones numers with here email.....see it and replay us please ..... it is very interesting secret files ..bibi
Hi,this is secret files of <<Britny spears>> contain her marrage photoes in
texas,part of her marrage party and her reactions about madona.....see it and replay us please ..... it is very interesting secret files ..bibiHi: mr or miss some amricans say befor 20 yrs Bnladen was cow boy these photoes and parts of vidioes prove it <<photos and vedioes in attachement file>> If u you want to have anice holyday you must call us at this adress USA MITCHGEN and we will give greate offer details in this attachment
Hi:miss or mr you can contact new friends all ever the world deatails in attachmment file
this is the new update and last version of kasper fire wall it contains more and new advantages This attachmment contain very hard sexy photos with part of sexy films interest and replay usHi;this is some photoes of Britney Spears marrage with Bnladen son in flash file so<<<<if the winzip file not run you must change the extention to exe to execute it
Имя файла-вложения:
Britny spears marrage with Bnladensun.zip
Размножение через локальные и файлообменные сети
Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
Britny spears and Madona sex viedio in 24 min only.zip.................exe Iraq war.zip.................exe last messengers versions.zip.................exe learn photo shop in 3 days only.zip.................exe new cupied photos.zip.................exe new girls emails with there phone numbers.zip.................exe strong fire wall allover the world with thelast update of norton.zip.................exe USA discvered water in mars yesterday.doc.zip.................exe
Червь копирует себя в созданную папку "%ProgramFiles%\Kazaa\My Shared Folder\Shared" под следующими именами:
)..zip.........exe [SWF] - Harry Potter and the philosophers [SWF] - Swordfish.........exe [SWF] - The Fast and the Furious.zip.........exe 3d msn version 10.1.zip................exe 3dstoudio.zip.........exe animal photos.zip.........exe anti virus.zip.........exe antibiotics.zip.........exe aol.zip.........exe autocade.zip.........exe big one in the world.zip.........exe Britny Spears.zip.........exe Cat attacks child.zip.........exe cocacola.zip.........exe Comedy video.zip.........exe computers in 2010.zip.........exe deutsh programs.zip.........exe Dracola.zip.........exe FBI secrets.zip.........exe fear.zip.........exe fire wall.zip.........exe FlashMovie.zip.........exe FOOTBALL IN ENGLAND.zip.........exe Game_Crack_Genie_v0.5.zip.........exe hack.zip.........exe hard core.zip.........exe huge sexy brests program v 1.7.00.zip.exe i robot.zip.........exe lesbien.zip.........exe MacroMedia Flash 6.0.zip.........exe mirc.zip.........exe ms games.zip.........exe MsDos_PortScanner.zip.........exe new film.zip.........exe news paper.zip.........exe news.zip.........exe norton 2005.zip.........exe office 2005.zip.........exe pebsi.zip.........exe photo shop.zip.........exe scince of water.zip.........exe sex plus.zip.........exe Shockwave Flash.zip.........exe Simpsons Episode (# songs.zip.........exe ssPamela_Anderson_(Naked Screen Saver).scr.........exe ssParis_Hilton_(Nude Screen Saver).scr.............exe stone.zip.........exe SWF.zip.........exe SWF_Movie.zip.........exe this files is very secret files.zip.........exe tourism.zip.........exe TOY 2006.zip.........exe Tutorial Video on Hacking.........exe USA secrets.zip.........exe viagra.zip.........exe Virtual_3D_Pinball.zip.........exe virus.zip.........exe visual basic projects.zip.........exe Win32System_Tweaks_v1.0.zip.........exe Wmplayer_Celebrity_Skins.zip.........exe wwf.zip.........exe xxl plus.zip.........exe XXX video.zip.........exe yahoo.zip.........exe
Червь копирует себя в возможные скрытые сетевые ресурсы под именами:
admin$\system32\see this it is very intersting.zip...................................exe C$\documment and settings\all users\documents\secret documents.zip......................exe C$\money generator very dengerous and secrt.zip..........................exe C$\shared\my sallary every mmonth increaser.................................exe C$\windows\system32\pass word of hotmail store.zip................exe C$\winnt\systemm32\speial films links in net.zip.............................exe ipc$\secret photoes from my chat.zip...............................exe
Размножение через IRC-каналы
Чтобы рассылать свои копии другим пользователям IRC, находящимся на том же канале, что и зараженный компьютер, червь перезаписывает следующие файлы:
%ProgramFiles%\mIRC\script.ini %ProgramFiles%\mIRC32\script.in
Через IRC червь рассылает свою копию:
Britny spears marriage with Bnladen son.zip.exe
Прочее
На зараженном компьютере червь открывает один из следующих интернет сайтов:
http://a7meedye.jeeran.com/counter.htm http://www.hotmail.com http://www.hotmmail.com http://www.new chat.net http://www.originalicons.com/?oi=funnyphotos.php?emailfrom=mgasalgya_4ever@hotmail.com!pi%20c=woman.jpg#topofpage
Ваш мозг на 60% состоит из жира. Добавьте 40% науки!
Сбалансированная диета для серого вещества