W32.Mexer.E@mm

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

При запуске червь выполняет следующие действия:

  1. Создает папку %System%\sys32.
  2. Создает собственные копии в папке %System%\sys32:
    •  Ruby13.exe 
    •  Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe 
    •  Counter-Strike, Condition Zero: Activation Key.exe 
    •  icqbomber.exe 
    •  BurnDvds.exe 
    •  Dvd Ripper.exe 
    •  Dvd To Vcd.exe 
    •  Easy Dvd Ripper.exe 
    •  EZ Dvd Ripper.exe 
    •  Nimo Codec Pack Updater.exe 
    •  Xvid Codec Installer.exe 
    •  Starcraft + Broodwar 1.10 map hack.exe 
    •  Starcraft + Broodwar 1.10 no-cd hack.exe 
    •  Diablo 2 map hack.exe 
    •  Diablo 2 no-cd hack.exe 
    •  Jamella's Diablo 2 hero editor.exe 
    •  Warcraft 3 map hack.exe 
    •  Warcraft 3 stat hack.exe 
    •  Warcraft 3 no-cd hack.exe 
    •  Warcraft 3 Frozen Throne map hack.exe 
    •  Warcraft 3 Frozen Throne cd-cd hack.exe 
    •  The Frozen Throne map hack.exe 
    •  Counterstrike hacks.exe 
    •  Counterstrike aim hack.exe 
    •  Crack McAfee 7.exe 
    •  Crack Norton 3000.exe 
    •  Borland KeyGens.exe 
    •  SophosCrackAllVersion.exe 
    •  PANDA.lusers.exe 
    •  PANDA.AVers.lusers.exe 
    •  MP3 encoder decoder V1.8.exe 
    •  Cisco Certification Test.exe 
    •  MSCE Certification Test.exe 
    •  Windows Nt Certification Test.exe 
    •  XBOX X-Fer Ripper and Transfer.exe 
    •  Information.exe 
    •  EBAY.exe 
    •  VISA.EXE 
    •  PROVIDER.EXE 
    •  INTERNET.EXE
    
  3. Создает собственные копии в папке %System%\sys32, добавляя в конец имени файла одну из следующих подстрок:
    •	Keygen.exe 
    •	Serial.exe 
    •	NoCD.exe 
    •	Crack.exe
    
    к каждому из следующих файлов:
    •	Norton AntiVirus 2004 Pro Activation Key & 
    •	Microsoft Windows XP Professional 
    •	Adobe Photoshop CS and ImageReady CS 8.0 
    •	Zone Alarm 5.0 pro 
    •	Harry Potter and the Prisoner of Azkaban KeyGen and 
    •	Norton Internet Security 2004 Keygen & 
    •	All Adobe Products 
    •	All Macromedia Products 
    •	All Microsoft Products 
    •	Divx Pro 5.1 
    •	Dvd Plus 
    •	Dvd Wizard Pro 
    •	Dvd Xcopy 
    •	DvdCopyOne 
    •	DvdToVcd 
    •	Easy Dvd creator 
    •	Nero Burning Rom 
    •	BitDefender 
    •	Nod32 
    •	Ipswich Town Official Management Game - 
    •	Bridge Baron 13 
    •	American Conquest - 
    •	Grom - 
    •	Slot City 3 
    •	Command and Conquer Generals 
    •	Nascar Racing 2003 Season 
    •	Eonix Realm Of Hepmia - 
    •	I Was An Atomic Mutant - 
    •	Fetish Fighters - 
    •	Battlefield 1942 The Road to Rome - 
    •	The Campaigns of La Grande Armee - 
    •	Unreal II The Awakening - 
    •	The Emperors Mahjong - 
    •	Sim City 4 - 
    •	Private Nurse - 
    •	Impossible Creatures - 
    •	Test Drive - 
    •	Shadow of Memories - 
    •	World Of Outlaws Sprint Car Racing 2002 - 
    •	Tombstone 1882 - 
    •	Airport Tycoon II - 
    •	Apache AH-64 Air Assault - 
    •	A+ Certification Test.exe 
    •	Serious Sam - Gold Edition - 
    •	IGI-2 Covert Strike - 
    •	Tom Clancys Splinter Cell - 
    •	Robot Arena Design And Destroy - 
    •	Freelancer - 
    •	Battlefield Vietnam - 
    •	Deus Ex - 
    •	Forbidden Siren - 
    •	Doom 3 - 
    •	WinRAR 3 
    •	WinACE 
    •	WinZIP 9 
    •	Norton AntiVirus 2005 
    •	Shrek 2 
    •	Spider-Man 2 
    •	Spellforce - Breath of Winter 
    •	Norton Internet Security 2005 Pro 
    •	Norton Internet Security 2004 Pro 
    •	Symantec Internet Secutiy 2005 
    •	Symantec Antivirus 2005 
    •	Harry Potter und der Gefangene von Askaban 
    •	Kazaa all 
    •	Windows Server 2003 
    •	Office XP Universal
    
  4. Создает значение "Ruby13"="C:\sysnet\Ruby13.exe" в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра.
  5. Создает значение "Dir0"="012345:c:\sysnet\" в следующих ключах реестра:
    HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    HKEY_CURRENT_USER\Software\Kazaa\Transfer
    
  6. Собирает email адреса в файлах со следующим расширением:
    •  wab 
    •  .dbx 
    •  .htm 
    •  .sht 
    •  .txt 
    •  .doc 
    •  .rtf
    
  7. Червь игнорирует email адреса, содержащие следующие строки:
    •  supp 
    •  webm 
    •  viru 
    •  newv 
    •  kasp 
    •  micr 
    •  root 
    •  admi 
    •  host
    
  8. Посылает свою копию по найденным email адресам, используя встроенный SMTP сервер. Email содержит следующие характеристики: Заголовок сообщения:
    •	EBAY Information 
    •	VISA Information 
    •	Provider Information 
    •	Your Crack 
    •	Internet Information
    
    Тело сообщения:
     
    •	EBAY Installer... 
    •	Security Tool... 
    •	Here is your crack! 
    •	New account data...
    
    Вложение – случайный файл из C:\sysnet размером 30.720 байт.
  9. Червь также отображает диалоговое окно с заголовком "Ruby V1.3, (c)BI 16.08.2004" и текстом "Fight against MICROSOFT and make a virus!"