Email-Worm.Win32. Joleee.ep

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\services.exe

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Распространение

В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующего адреса:

http://91.207.4.250/s_alive.php

и сохраняет их во временном каталоге ОС Windows:

%Temp%\<rnd>.tmp

Где <rnd> – случайная последовательность цифр.

После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылает по протоколу SMTP с использованием следующих почтовых серверов:

mx.hotmail.com
mx.yahoo.com
mx.aol.com
mx.google.com
mx.mail.com

name="doc3">

Деструктивная активность

С помощью системной утилиты netsh отключает системный брандмауэр

netsh firewall set opmode disable

А также изменяет следующие ключи реестра:

[HKLM\SOFTWARE\Microsoft\Security Center] 
"FirewallDisableNotify" = 1
"FirewallOverride" = 1



[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess] 
"Start" = 4



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile] 
"EnableFirewall" = 0



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile] 
"EnableFirewall" = 0