Email-Worm.Win32.Antiman.a

Email-Worm.Win32.Antiman.a («Лаборатория Касперского») также известен как: W32/Generic.Delphi.c (McAfee), W32.Antiman.A@mm (Symantec), Trojan.PWS.Guna (Doctor Web), W32/Antiman-A (Sophos), Win32/Antiman.A@mm (RAV), WORM_ANTIMAN.A (Trend Micro), Worm/Antiman.A.1 (H+BEDV), W32/Antiman.A@mm (FRISK), I-Worm/Delf.AH (Grisoft), Win32.Antiman.A@mm (SOFTWIN), Worm.Antim.C (ClamAV), W32/Antiman.A.worm (Panda), Win32/Delf.NAI (Eset)

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows. Написан на языке Borland Delphi и имеет размер около 401 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем funny.scr:

%Windir%\funny.scr

Также червь копирует себя в папку автозагрузки с именем startwin.exe, например:

%UserProfile%\Start Menu\Programs\Startup\startwin.exe

После чего червь создает в корне диска C: текстовый файл m.txt, который является лог файлом, содержащим все действия самого червя.

Также червь создает следующие ключи системного реестра с целью запуска в течение 5 минут своей копии вместо экранной заставки:

  
  [HKCU\Control Panel\Desktop]
   "ScreenSaveTimeOut"="300"
   "SCRNSAVE.EXE"="%WINDIR%\funny.scr"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, входящие, исходящие и удаленные папки Microsoft Outlook, лог файлы Yahoo Instant Messenger.

После чего рассылает себя по всем найденным в них адресам электронной почты. Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Характеристики зараженных писем

Червь рассылает зараженные письма с вложением и нижеприведенными характеристиками.

Тема письма:

Выбирается из списка:

  
      * Antimanele
      * Antivirus
      * Cu sau fara Manele ?
      * Cum a murit Papa?
      * De ce mor mai repede curiosii...
      * Faza cu camila
      * Pentru Ionel
      * Poza de la mare...
      * Sex in camin
      * Votati astazi! 

Текст письма:

Выбирается из списка:

* :)))))))

* Asta e ultimul antivirus. Ar trebui sa rezolve toate problemele.

* Credeti ca ar fi mai bine ca Romania sa-si retraga trupele d in Irak anul acesta?

Deschideti programul Vot, alegeti votul dvs. si vedeti rezul tatele. Parerea dvs. conteaza!

* Daca sunteti nu mai suportati manelele la servici, tramvai, taxi, metrou, etc., trimiteti acest mesaj la toti prietenii dvs. ! Va multumesc (din suflet).

* Draga Ionel

Scuza-ma ca nu ti-am mai scris de mult timp, dar am avut ceva probleme cu calculatorul Ti-am promis ultima data pe chat o poza cu mine dezbracata... m-am gandit mult la asta si cred ca pana la urma cel mai bine e sa-ti trimit o poza. Sper sa-ti placa. Daca nu o sa-mi mai scrii dupa mesajul asta, o sa te inteleg...

Roxana,

* Film cu moartea papei. Toate drepturile rezervate. Este interzisa modificarea continutului. Poate fi redistribuit.

Asociatia Catolicilor Anonimi din Romania.

* Ioana, sex in grup in camin. Cred ca o stii si tu ;)

* Nu deschide acest mesaj! E numai pentru persoanele prea curioase!

* Ti-am trimis ultima poza de la mare. Asta e?

Имя файла-вложения:

Выбирается из списка:

  
  
      * antimanele.exe
      * antivirus.exe
      * camila.exe
      * curiosii.exe
      * film_papa._avi._divx_.exe
      * ioana_divx._AVI.exe
      * poza_roxana._JPG.exe
      * scan_picture_0001._JPG.exe
      * vot_manele.exe