Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя следующие уязвимости:
Червь является приложением Windows, имеет размер около 423КБ, упакован MEW. Размер распакованного файла около 1159КБ.
Червь содержит в себе бэкдор-функцию.
После своего запуска червь открывает окно, в котором показывает файл "uglym.jpg":
При инсталляции червь копирует себя с именем "xxz.tmp" в системный каталог Windows.
Червь создает в системном каталоге Windows следующие файлы:
%System%\ANSMTP.DLL %System%\attached.zip %System%\bszip.dll %System%\SVKP.sys %System%\uglym.jpg %System%\winit.exe
Email-Worm.Win32.Wurmark.a регистрирует себя в ключах автозагрузки системного реестра:
[HKCU\Software\Microsoft\OLE] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "virtual"="winit.exe"
Также червь создает следующие ключи реестра:
[HKCR\ANSMTP.MassSender.1] [HKCR\ANSMTP.MassSender] [HKCR\ANSMTP.OBJ.1] [HKCR\ANSMTP.OBJ] [HKCR\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}] [HKCR\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}] [HKCR\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}] [HKCR\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}] [HKCR\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}] [HKCR\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}] [HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}] [HKLM\SYSTEM\CurrentControlSet\Enum\Root\SVKP] [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:
adb asp dbx doc htm html php sht tbb txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.gov adaware avguk grisoft kaspersky lavasoft mcafee nod32 pandasoftware sophos symantec trendmicro
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Выбирается из списка:
Hhahahah lol!!!! Rate My Pic....... You have an Admirer Your Pic On A Website!!
Выбирается из списка:
i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...
I was looking at a website and came across this pic they look just like you! infact im sure is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!
Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say I wont be offended p.s i was drunk when it was taken :P
Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.
Выбирается из списка:
admire_001.exe attachment.zip for_you.pif is_this_you.scr love_04.scr Photo_01.pif Pic_001.exe Scan_04.scr Sexy_09.scr
Червь копирует себя в следующие доступные сетевые ресурсы:
ADMIN$ C$ D$ IPC$
Червь подключается к серверу windowss.serveftp.com и открывает произвольный TCP-порт на зараженной машине для приема команд.
Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.
Лечим цифровую неграмотность без побочных эффектов