W32.Mexer.E@mm

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

При запуске червь выполняет следующие действия:

  1. Создает папку %System%\sys32.
  2. Создает собственные копии в папке %System%\sys32:
     •  Ruby13.exe 
     •  Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe 
     •  Counter-Strike, Condition Zero: Activation Key.exe 
     •  icqbomber.exe 
     •  BurnDvds.exe 
     •  Dvd Ripper.exe 
     •  Dvd To Vcd.exe 
     •  Easy Dvd Ripper.exe 
     •  EZ Dvd Ripper.exe 
     •  Nimo Codec Pack Updater.exe 
     •  Xvid Codec Installer.exe 
     •  Starcraft + Broodwar 1.10 map hack.exe 
     •  Starcraft + Broodwar 1.10 no-cd hack.exe 
     •  Diablo 2 map hack.exe 
     •  Diablo 2 no-cd hack.exe 
     •  Jamella's Diablo 2 hero editor.exe 
     •  Warcraft 3 map hack.exe 
     •  Warcraft 3 stat hack.exe 
     •  Warcraft 3 no-cd hack.exe 
     •  Warcraft 3 Frozen Throne map hack.exe 
     •  Warcraft 3 Frozen Throne cd-cd hack.exe 
     •  The Frozen Throne map hack.exe 
     •  Counterstrike hacks.exe 
     •  Counterstrike aim hack.exe 
     •  Crack McAfee 7.exe 
     •  Crack Norton 3000.exe 
     •  Borland KeyGens.exe 
     •  SophosCrackAllVersion.exe 
     •  PANDA.lusers.exe 
     •  PANDA.AVers.lusers.exe 
     •  MP3 encoder decoder V1.8.exe 
     •  Cisco Certification Test.exe 
     •  MSCE Certification Test.exe 
     •  Windows Nt Certification Test.exe 
     •  XBOX X-Fer Ripper and Transfer.exe 
     •  Information.exe 
     •  EBAY.exe 
     •  VISA.EXE 
     •  PROVIDER.EXE 
     •  INTERNET.EXE
     
  3. Создает собственные копии в папке %System%\sys32, добавляя в конец имени файла одну из следующих подстрок:
     •	Keygen.exe 
     •	Serial.exe 
     •	NoCD.exe 
     •	Crack.exe
     
    к каждому из следующих файлов:
     •	Norton AntiVirus 2004 Pro Activation Key & 
     •	Microsoft Windows XP Professional 
     •	Adobe Photoshop CS and ImageReady CS 8.0 
     •	Zone Alarm 5.0 pro 
     •	Harry Potter and the Prisoner of Azkaban KeyGen and 
     •	Norton Internet Security 2004 Keygen & 
     •	All Adobe Products 
     •	All Macromedia Products 
     •	All Microsoft Products 
     •	Divx Pro 5.1 
     •	Dvd Plus 
     •	Dvd Wizard Pro 
     •	Dvd Xcopy 
     •	DvdCopyOne 
     •	DvdToVcd 
     •	Easy Dvd creator 
     •	Nero Burning Rom 
     •	BitDefender 
     •	Nod32 
     •	Ipswich Town Official Management Game - 
     •	Bridge Baron 13 
     •	American Conquest - 
     •	Grom - 
     •	Slot City 3 
     •	Command and Conquer Generals 
     •	Nascar Racing 2003 Season 
     •	Eonix Realm Of Hepmia - 
     •	I Was An Atomic Mutant - 
     •	Fetish Fighters - 
     •	Battlefield 1942 The Road to Rome - 
     •	The Campaigns of La Grande Armee - 
     •	Unreal II The Awakening - 
     •	The Emperors Mahjong - 
     •	Sim City 4 - 
     •	Private Nurse - 
     •	Impossible Creatures - 
     •	Test Drive - 
     •	Shadow of Memories - 
     •	World Of Outlaws Sprint Car Racing 2002 - 
     •	Tombstone 1882 - 
     •	Airport Tycoon II - 
     •	Apache AH-64 Air Assault - 
     •	A+ Certification Test.exe 
     •	Serious Sam - Gold Edition - 
     •	IGI-2 Covert Strike - 
     •	Tom Clancys Splinter Cell - 
     •	Robot Arena Design And Destroy - 
     •	Freelancer - 
     •	Battlefield Vietnam - 
     •	Deus Ex - 
     •	Forbidden Siren - 
     •	Doom 3 - 
     •	WinRAR 3 
     •	WinACE 
     •	WinZIP 9 
     •	Norton AntiVirus 2005 
     •	Shrek 2 
     •	Spider-Man 2 
     •	Spellforce - Breath of Winter 
     •	Norton Internet Security 2005 Pro 
     •	Norton Internet Security 2004 Pro 
     •	Symantec Internet Secutiy 2005 
     •	Symantec Antivirus 2005 
     •	Harry Potter und der Gefangene von Askaban 
     •	Kazaa all 
     •	Windows Server 2003 
     •	Office XP Universal
     
  4. Создает значение "Ruby13"="C:\sysnet\Ruby13.exe" в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра.
  5. Создает значение "Dir0"="012345:c:\sysnet\" в следующих ключах реестра:
     HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
     HKEY_CURRENT_USER\Software\Kazaa\LocalContent
     HKEY_CURRENT_USER\Software\Kazaa\Transfer
     
  6. Собирает email адреса в файлах со следующим расширением:
     •  wab 
     •  .dbx 
     •  .htm 
     •  .sht 
     •  .txt 
     •  .doc 
     •  .rtf
     
  7. Червь игнорирует email адреса, содержащие следующие строки:
     •  supp 
     •  webm 
     •  viru 
     •  newv 
     •  kasp 
     •  micr 
     •  root 
     •  admi 
     •  host
     
  8. Посылает свою копию по найденным email адресам, используя встроенный SMTP сервер. Email содержит следующие характеристики: Заголовок сообщения:
     •	EBAY Information 
     •	VISA Information 
     •	Provider Information 
     •	Your Crack 
     •	Internet Information
     
    Тело сообщения:
     
     •	EBAY Installer... 
     •	Security Tool... 
     •	Here is your crack! 
     •	New account data...
     
    Вложение – случайный файл из C:\sysnet размером 30.720 байт.
  9. Червь также отображает диалоговое окно с заголовком "Ruby V1.3, (c)BI 16.08.2004" и текстом "Fight against MICROSOFT and make a virus!"