Email-Worm.Win32.Breacuk.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 16КБ, упакован MEW. Размер распакованного файла — около 69КБ.

Инсталляция

После запуска червь копирует себя в папку Windows с произвольным именем из 5 символов. Например:

• C:\%WinDir%\Fonts\vhpoj.exe
• C:\%WinDir%\system\vhpoj.exe
• C:\%WinDir%\system32\vhpoj.exe
• C:\%WinDir%\Temp\vhpoj.exe

Затем регистрирует себя в ключе автозагрузки системного реестра:

Червь создает в памяти уникальный идентификатор "BreaKer_cUk" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

• Re:FW: impossyvel su-lo tanto... :P, vu-lo
• Re:FW:(none)
• Re:FW:Aid please! :), to see it
• Re:FW:Aide s'il vous plait! :), pour le voir
• Re:FW:Ajuda a ajudar-te... :), vu-lo
• Re:FW:Ayudame a ayudarte... :), miralo
• Re:FW:Because it is worth ,to see it
• Re:FW:Besser Witz des Jahres:), um es zu sehen
• Re:FW:Besserer Idiot des Jahres, um es zu sehen
• Re:FW:Besseres Foto des Jahres;), um es zu sehen
• Re:FW:Better idiot of the year, to see it
• Re:FW:Better joke of the year:), to see it
• Re:FW:Better Photo of the year;), to see it
• Re:FW:Ce que nous voulions toujours... :), pour le voir
• Re:FW:Che cosa abbiamo desiderato sempre... :), vederli
• Re:FW:Die schlechtere Sache des Jahres, um es zu sehen
• Re:FW:Es gibt kein Leben ohne Tod ...: (, um es zu sehen
• Re:FW:Es imposible serlo tanto... :P, miralo
• Re:FW:Es ist unm glich, es soviel ...:P zu sein, es zu sehen
• Re:FW:Foto migliore dell'anno;), per vederla
• Re:FW:Hilfe bitte!:), um es zu sehen
• Re:FW:Idiot migliore dell'anno, vederlo
• Re:FW:Il est impossible d' tre cela tant de ...:P, le voir
• Re:FW:Il n'y a aucune vie sans mort... : (, pour le voir
• Re:FW:impossibile a sia tanto... :P, vederlo
• Re:FW:It is impossible to be it as much... :P, to see it
• Re:FW:La chose plus mauvaise de l'annue, pour le voir
• Re:FW:La cosa pi?ettosa dell'anno, vederla
• Re:FW:Le meilleur idiot de l'annue, pour le voir
• Re:FW:Lo peor del a o, miralo
• Re:FW:Lo que siempre quisimos... :). miralo
• Re:FW:Meilleure Photo de l'annue;), pour le voir
• Re:FW:Mejor chiste del a o :),miralo
• Re:FW:Mejor chorrada del a o, miralo
• Re:FW:Mejor Foto del a o ;), miralo
• Re:FW:Melhor anedota do ano :),vu-lo
• Re:FW:Melhor Foto do ano ;), vu-lo
• Re:FW:Mieux plaisanterie de l'annue :), pour le voir
• Re:FW:No hay vida sin muerte... :(, miralo
• Re:FW:Non ci vita senza morte... :(, vederla
• Re:FW:Nuo hs vida sem morte... :(, vu-lo
• Re:FW:O mas idiota, vu-lo
• Re:FW:O pior do ano, vu-lo
• Re:FW:O que sempre quisemos... :). vu-lo
• Re:FW:Parce qu'il vaut, le voir
• Re:FW:Pois vale. vu-lo
• Re:FW:Preis!:D, um es zu sehen
• Re:FW:Premio! :D, vederlo
• Re:FW:Premio!!!! :D, miralo
• Re:FW:Prix! :D, pour le voir
• Re:FW:Prize! :D, to see it
• Re:FW:Prumio!!!! :D, vu-lo
• Re:FW:Pues vale. miralo
• Re:FW:Scherzo migliore dell'anno:), per vederlo
• Re:FW:Sussidio per favore! :), per vederlo
• Re:FW:The worse thing of the year, to see it
• Re:FW:There is no life without death... :(, to see it
• Re:FW:Was wir immer ... wollten:), um es zu sehen
• Re:FW:Weil das wert ist, es zu sehen
• Re:FW:What we always wanted...:), to see it

Текст письма:

Выбирается из списка:

• Kaspersky-Antivirus.
  Kein Virus Gefundenes
  State:Ok
• Symantec-Antivirus.
  Noo Vyrus.
  State:Ok
• Symantec-Antivirus.
  Nessun Virus Found.
  State:Ok
• Kaspersky-Antivirus.
  No Virus Found.
  State:Ok
• F-Secure-Antivirus.
  Aucun Virus Constat
  State:Ok
• Panda ActiveScan-Antivirus.
  No se encontraron virus.
  Estado:Ok

Имя файла-вложения:

Выбирается из списка:

• anedota2004.zip
• Bilge2004.zip
• Bonheur.zip
• chiste2004.zip
• ck.zip
• Daswarniewie das.zip
• Eskannnichtsein.zip
• explodecarros.zip
• Exploitedesvoitures.zip
• exploitscars.zip
• felicidad.zip
• felicidade.zip
• Foto2004.zip
• foto2004.zip
• Happiness.zip
• Heiligtum.zip
• Ihavetouched it.zip
• Itcannotbe.zip
• Itwasneverlikethat.zip
• jamasfueasi.zip
• Joke2004.zip
• Kielraum2004.zip
• L'hotoccato.zip
• mehatocado.zip
• metocou.zip
• nopuedeser.zip
• nuncafoiassim.zip
• opodeser.zip
• Peggiore2004.zip
• pegote2004.zip
• peor2004.zip
• photo2004.zip
• Photo2004.zip
• pior2004.zip
• Plaisanterie2004.zip
• Plusmauvais2004.zip
• rebientacoches.zip
• Renflement2004.zip
• Sanctuaire.zip
• Sanctuary.zip
• Santuario.zip
• santuario.zip
• Scherzo2004.zip
• Schlechter2004.zip
• stupido2004.zip
• tatAutos.zip
• tonto2004.zip
• utilizzadelleautomobili.zip
• Witz2004.zip
• Worse2004.zip

Действие

После запуска на зараженном компьютере червь открывает следующую интернет-страницу:

http://www.pornprone.com/