Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.
Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic и упакован ASPack. Размер в упакованном виде — примерно 37КБ, в распакованном — примерно 58КБ.
Инсталляция
После запуска червь копирует себя с именем FTPGRABER.EXE в корневой каталог Windows:
%Windir%\FTPGRABBER.EXE
Также в корневом каталоге Windows червь создает файл с именем WININIT.INI:
%Windir%\WININIT.INI
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] "FTPGraber"="%Windir%\FTPGRABBER.EXE"
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем
Тема письма:
Выбирается из списка:
* Assunto para o Envio E
* com voc
* Entrei no Charges.com.br e achei esta Charge parecida
* Lembrei de Voc
* Link para anexar a Mensagem
* Mensagem para o Envio
* Muito legal.
* Para ver a charge use este Link:
* txtAssunto
* URL do Executavel
Текст письма:
Содержит ссылку на зараженный файл, а также произвольный набор фраз из списка:
* Assunto para o Envio E
* com voc
* Entrei no Charges.com.br e achei esta Charge parecida
* Lembrei de Voc
* Link para anexar a Mensagem
* Mensagem para o Envio
* Muito legal.
* Para ver a charge use este Link:
* txtAssunto
* URL do Executavel
Действие
Email-Worm.Win32.Envid.a пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
* APLICA32.EXE * AVCONSOL.EXE * AVPM.EXE * CFIADMIN.EXE * CFIAUDIT.EXE * CFINET.EXE * CFINET32.EXE * IAMAPP.EXE * IAMSERV.EXE * LOCKDOWN2000.EXE * NAVAPSVC.EXE * NAVAPW32.EXE * NAVW32.EXE * NISUM.EXE * NMain.exe * PCFWallIcon.EXE * SAFEWEB.EXE * SAVSCAN.EXE * TDS2-98.EXE * VSSTAT.EXE * WEBSCANX.EXE
Храним важное в надежном месте