Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Написан на языке C. Запакован исправленной версией PEX. Размер упакованного файла - 19КБ. Распакованного - около 69КБ.
Содержит защиту от повторных запусков, т.е. в системе всегда присутствует только один процесс активного червя. Для этого червем создается мьютекс "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D".
Удаляет следующие ключи из реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "My AV"
Инсталляция
Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
После активизации копирует себя в системный каталог Windows под именами:
* sysformat.exe * sysformat.exeopen * sysformat.exeopenopen
Прописывает файл sysformat.exe в ключ автозапуска:
[...\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]
Содержит функцию Trojan-Downloader - скачивает файл error.jpg с нескольких десятков адресов и устанавливает его в системный каталог Windows под именем re_file.exe.
Распространение через email
Червь ищет на диске файлы с расширениями из нижеприведенного списка и рассылает себя по найденным в них адресам электронной почты:
* adb * asp * cfg * cgi * dbx * dhtm * eml * htm * jsp * mbx * mdx * mht * mmf * msg * nch * ods * oft * php * pl * sht * shtm * stm * tbb * txt * uin * wab * wsh * xls * xml
Червь проверяет каждый найденный электронный адрес на предмет наличия в нем подстрок:
* @avp. * @foo * @iana * @messagelab * @microsoft * abuse * admin * anyone@ * bsd * bugs@ * cafee * certific * contract@ * feste * free-av * f-secur * gold-certs@ * google * help@ * icrosoft * info@ * kasp * linux * listserv * local * news * nobody@ * noone@ * noreply * ntivi * panda * pgp * postmaster@ * rating@ * root@ * samples * sopho * spam * support * unix * update * winrar * winzip
Если такая подстрока присутствует, то червь себя не отправляет по найденному адресу.
Для рассылки писем использует собственный SMTP-движок.
Характеристики зараженных писем
Пример зараженного письма
Заголовок письма:
Выбирается из следующих:
* Delivery service mail * Delivery by mail * Is delivered mail * Registration is accepted * You are made active
Текст письма:
Выбирается из следующих:
* Before use read the help * Thanks for use of our software.
Имя вложения:
Выбирается из следующих:
* guupd02 * Jol03 * siupd02 * upd02 * viupd02 * wsd01 * zupd02
Размножение через файлообменные сети
Червь осуществляет поиск на диске каталогов, содержащих строку "shar". Если такие каталоги найдены, то в них червь выкладывает свое тело в файлы со следующими именами:
* 1.exe * 10.exe * 2.exe * 3.exe * 4.exe * 5.scr * 6.exe * 7.exe * 8.exe * 9.exe * ACDSee 9.exe * Adobe Photoshop 9 full.exe * Ahead Nero 7.exe * Matrix 3 Revolution English Subtitles.exe * Opera 8 New!.exe * WinAmp 5 Pro Keygen Crack Update.exe * WinAmp 6 New!.exe * Windown Longhorn Beta Leak.exe * XXX hardcore images.exe
Таким образом, он получает распространение через разделяемые ресурсы и P2P-сети.
Действие
При активизации червь уничтожает следующие процессы, осуществляющие персональную защиту компьютера и локальных подсетей:
* alogserv.exe * APVXDWIN.EXE * ATUPDATER.EXE * ATUPDATER.EXE * AUPDATE.EXE * AUTODOWN.EXE * AUTOTRACE.EXE * AUTOUPDATE.EXE * Avconsol.exe * AVENGINE.EXE * AVPUPD.EXE * Avsynmgr.exe * AVWUPD32.EXE * AVXQUAR.EXE * AVXQUAR.EXE * bawindo.exe * blackd.exe * ccApp.exe * ccEvtMgr.exe * ccProxy.exe * ccPxySvc.exe * CFIAUDIT.EXE * DefWatch.exe * DRWEBUPW.EXE * ESCANH95.EXE * ESCANHNT.EXE * FIREWALL.EXE * FrameworkService.exe * ICSSUPPNT.EXE * ICSUPP95.EXE * LUALL.EXE * LUCOMS~1.EXE * mcagent.exe * mcshield.exe * MCUPDATE.EXE * mcvsescn.exe * mcvsrte.exe * mcvsshld.exe * navapsvc.exe * navapsvc.exe * navapsvc.exe * navapw32.exe * NISUM.EXE * nopdb.exe * NPROTECT.EXE * NPROTECT.EXE * NUPGRADE.EXE * NUPGRADE.EXE * OUTPOST.EXE * PavFires.exe * pavProxy.exe * pavsrv50.exe * Rtvscan.exe * RuLaunch.exe * SAVScan.exe * SHSTAT.EXE * SNDSrvc.exe * symlcsvc.exe * UPDATE.EXE * UpdaterUI.exe * Vshwin32.exe * VsStat.exe * VsTskMgr.exe
Первое — находим постоянно, второе — ждем вас