Email-Worm.Win32.Finaldo.a

Email-Worm.Win32.Finaldo.a («Лаборатория Касперского») также известен как: I-Worm.Finaldo.a («Лаборатория Касперского»), W32/Finaldo.dll (McAfee), W32.Finaldo (Symantec), Win32.Finaldo.51200 (Doctor Web), W32/Finaldo-A (Sophos), Win32/Finaldo.A.dr (RAV), TROJ_FINALDO.A (Trend Micro), W32/Finaldo.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Win32/Finaldo.A.dll (Grisoft), Win32.Finaldo.A@mm (SOFTWIN), W32/Finaldo.A (Panda), Win32/Finaldo.A.Dropper (Eset)

Вирус-червь, распространяющийся через интернет во вложениях в зараженные электронные письма. Вирус заражает исполняемые файлы Windows на локальном компьютере и доступных сетевых дисках.

Вирус резидентный и полиморфный.

Иногда вирус заражает файлы некорректно после чего файлы становятся нерабочими.

  
  Coded_by_CJH
  It's only a demo version.
  Made in china

Запуск вируса

Вирус в зараженных EXE-файлах Windows зашифрован. При запуске зараженного файла управление получает полиморфная процедура, которая расшифровывает вирусный код подпрограммы-дроппера и передает ей управление. Расшифрованный дроппер извлекает из зараженного файла основное тело вируса, записывает его в файл FINALDOOM.DLL в папку временных файлов Windows и загружает эту библиотеку в память. После этого код дроппера передает управление основной программе зараженного исполняемого файла.

Файл библиотеки обладает атрибутом «скрытый».

Основной вирусный компонент

Главный компонент вируса является Windows PE-библиотекой (файл DLL) размером около 31 КБ. Файл упакован утилитой UPX для PE EXE-файлов.

При запуске, библиотека создает два файла в папке временных файлов Windows: FINALDOOM.EML и FINALDOOM.EXE. Первый — электронное письмо, рассылаемое червем по почте; второй — программа, используемая вирусом для генерации секции MIME для EML-файла.

Вирус остается загруженным в память и перехватывает обращения к четырем функциям Windows API:

* поиск файлов (FindNextFileA, FindNextFileW);

* открытие файлов (CreateFileA, CreateFileW) — вирус заражает файлы EXE, SCR, OCX и изменяет содержимое файлов HTM, HTML, ASP.

Вирус также заражает EXE-файлы на всех открытых на запись сетевых дисках.

Заражение файлов

При заражении EXE-файлов вирус дописывает себя в конец файла. Вирус проверяет название и содержимое файла и не заражает файл NTOSKRNL.EXE и самораспаковывающиеся архивы WinZip и RAR.

При внесении изменений в HTML-файлы, червь добавляет в них команду «open eml file» (схожим образом поступает червь Nimda) и копирует файл FINALDOOM.EML в папку к исправленному HTML-файлу.

Распространение через email

Червь «спит» около 30 минут после заражения компьютера, после чего запускает процедуру саморазмножения. Данная процедура в дальнейшем запускается один раз в 30 минут, т.е. червь рассылает зараженные письма примерно раз в полчаса.

Червь подключается через MAPI к системному почтовому клиенту и «отвечает» на находящиеся в ящиках письма.

Механизм «ответа» на письма схож с примененным в черве Nimda, используется аналогичный эксплойт для автоматического запуска вложения на компьютере-получателе.

Бэкдор

Червь устанавливает на зараженный компьютер бэкдор, обладающий следующей функциональностью:

* загрузка любого файла и запуск его на исполнение на зараженном компьютере;

* перезагрузка компьютера;

* выгрузка бэкдора;

* показ по команде следующего сообщения:

  
  Finaldoom is coming ! Don't worry... It's no harm to your system !