Email-Worm.Win32.Zar.a

Email-Worm.Win32.Zar.a («Лаборатория Касперского») также известен как: W32/Generic.a@MM (McAfee), W32.Zar.A@mm (Symantec), WIN.WORM.Virus (Doctor Web), W32/VBSun-A (Sophos), Win32/Zar.A@mm (RAV), WORM_ZAR.A (Trend Micro), Worm/RaZ32 (H+BEDV), W32/Zar.A@mm (FRISK), Worm/VB.3.R (Grisoft), Win32.Tzar.A@mm (SOFTWIN), Worm.Zar.A (ClamAV), W32/Zar.A.worm (Panda), Win32/Zar.A (Eset)

Вирус-червь, распространяющийся через интернет в виде файлов, прикрепленных к зараженным письмам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 20 КБ.

Инсталляция

При инсталляции червь копирует себя со следующими именами в корневой каталог Windows:

  
  
  %WinDir%\crssr.exe
  %WinDir%\raz32.exe
  %WinDir%\tsunami.exe 

и регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "CaptionMgr32"="%systemroot%\crssr.exe" 

Так как %systemroot% ссылается на %WinDir%, данная запись в реестре гарантирует автоматический запуск вируса после перезагрузки системы.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook. При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

Tsunami Donation! Please help!

Текст письма:

Please help us with your donation and view the attachment below! We need you!

Имя файла-вложения:

tsunami.exe Действие

Zar.a пытается произвести DoS-атаку на сайт www.hacksector.de.