Security Lab

W32.Mexer.E@mm

W32.Mexer.E@mm

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

W32.Mexer.E@mm – email червь, также распространяющийся через файлообменные сети.

При запуске червь выполняет следующие действия:

  1. Создает папку %System%\sys32.
  2. Создает собственные копии в папке %System%\sys32:
      •  Ruby13.exe 
      •  Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe 
      •  Counter-Strike, Condition Zero: Activation Key.exe 
      •  icqbomber.exe 
      •  BurnDvds.exe 
      •  Dvd Ripper.exe 
      •  Dvd To Vcd.exe 
      •  Easy Dvd Ripper.exe 
      •  EZ Dvd Ripper.exe 
      •  Nimo Codec Pack Updater.exe 
      •  Xvid Codec Installer.exe 
      •  Starcraft + Broodwar 1.10 map hack.exe 
      •  Starcraft + Broodwar 1.10 no-cd hack.exe 
      •  Diablo 2 map hack.exe 
      •  Diablo 2 no-cd hack.exe 
      •  Jamella's Diablo 2 hero editor.exe 
      •  Warcraft 3 map hack.exe 
      •  Warcraft 3 stat hack.exe 
      •  Warcraft 3 no-cd hack.exe 
      •  Warcraft 3 Frozen Throne map hack.exe 
      •  Warcraft 3 Frozen Throne cd-cd hack.exe 
      •  The Frozen Throne map hack.exe 
      •  Counterstrike hacks.exe 
      •  Counterstrike aim hack.exe 
      •  Crack McAfee 7.exe 
      •  Crack Norton 3000.exe 
      •  Borland KeyGens.exe 
      •  SophosCrackAllVersion.exe 
      •  PANDA.lusers.exe 
      •  PANDA.AVers.lusers.exe 
      •  MP3 encoder decoder V1.8.exe 
      •  Cisco Certification Test.exe 
      •  MSCE Certification Test.exe 
      •  Windows Nt Certification Test.exe 
      •  XBOX X-Fer Ripper and Transfer.exe 
      •  Information.exe 
      •  EBAY.exe 
      •  VISA.EXE 
      •  PROVIDER.EXE 
      •  INTERNET.EXE
      
  3. Создает собственные копии в папке %System%\sys32, добавляя в конец имени файла одну из следующих подстрок:
      •	Keygen.exe 
      •	Serial.exe 
      •	NoCD.exe 
      •	Crack.exe
      
    к каждому из следующих файлов:
      •	Norton AntiVirus 2004 Pro Activation Key & 
      •	Microsoft Windows XP Professional 
      •	Adobe Photoshop CS and ImageReady CS 8.0 
      •	Zone Alarm 5.0 pro 
      •	Harry Potter and the Prisoner of Azkaban KeyGen and 
      •	Norton Internet Security 2004 Keygen & 
      •	All Adobe Products 
      •	All Macromedia Products 
      •	All Microsoft Products 
      •	Divx Pro 5.1 
      •	Dvd Plus 
      •	Dvd Wizard Pro 
      •	Dvd Xcopy 
      •	DvdCopyOne 
      •	DvdToVcd 
      •	Easy Dvd creator 
      •	Nero Burning Rom 
      •	BitDefender 
      •	Nod32 
      •	Ipswich Town Official Management Game - 
      •	Bridge Baron 13 
      •	American Conquest - 
      •	Grom - 
      •	Slot City 3 
      •	Command and Conquer Generals 
      •	Nascar Racing 2003 Season 
      •	Eonix Realm Of Hepmia - 
      •	I Was An Atomic Mutant - 
      •	Fetish Fighters - 
      •	Battlefield 1942 The Road to Rome - 
      •	The Campaigns of La Grande Armee - 
      •	Unreal II The Awakening - 
      •	The Emperors Mahjong - 
      •	Sim City 4 - 
      •	Private Nurse - 
      •	Impossible Creatures - 
      •	Test Drive - 
      •	Shadow of Memories - 
      •	World Of Outlaws Sprint Car Racing 2002 - 
      •	Tombstone 1882 - 
      •	Airport Tycoon II - 
      •	Apache AH-64 Air Assault - 
      •	A+ Certification Test.exe 
      •	Serious Sam - Gold Edition - 
      •	IGI-2 Covert Strike - 
      •	Tom Clancys Splinter Cell - 
      •	Robot Arena Design And Destroy - 
      •	Freelancer - 
      •	Battlefield Vietnam - 
      •	Deus Ex - 
      •	Forbidden Siren - 
      •	Doom 3 - 
      •	WinRAR 3 
      •	WinACE 
      •	WinZIP 9 
      •	Norton AntiVirus 2005 
      •	Shrek 2 
      •	Spider-Man 2 
      •	Spellforce - Breath of Winter 
      •	Norton Internet Security 2005 Pro 
      •	Norton Internet Security 2004 Pro 
      •	Symantec Internet Secutiy 2005 
      •	Symantec Antivirus 2005 
      •	Harry Potter und der Gefangene von Askaban 
      •	Kazaa all 
      •	Windows Server 2003 
      •	Office XP Universal
      
  4. Создает значение "Ruby13"="C:\sysnet\Ruby13.exe" в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра.
  5. Создает значение "Dir0"="012345:c:\sysnet\" в следующих ключах реестра:
      HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
      HKEY_CURRENT_USER\Software\Kazaa\LocalContent
      HKEY_CURRENT_USER\Software\Kazaa\Transfer
      
  6. Собирает email адреса в файлах со следующим расширением:
      •  wab 
      •  .dbx 
      •  .htm 
      •  .sht 
      •  .txt 
      •  .doc 
      •  .rtf
      
  7. Червь игнорирует email адреса, содержащие следующие строки:
      •  supp 
      •  webm 
      •  viru 
      •  newv 
      •  kasp 
      •  micr 
      •  root 
      •  admi 
      •  host
      
  8. Посылает свою копию по найденным email адресам, используя встроенный SMTP сервер. Email содержит следующие характеристики: Заголовок сообщения:
      •	EBAY Information 
      •	VISA Information 
      •	Provider Information 
      •	Your Crack 
      •	Internet Information
      
    Тело сообщения:
     
      •	EBAY Installer... 
      •	Security Tool... 
      •	Here is your crack! 
      •	New account data...
      
    Вложение – случайный файл из C:\sysnet размером 30.720 байт.
  9. Червь также отображает диалоговое окно с заголовком "Ruby V1.3, (c)BI 16.08.2004" и текстом "Fight against MICROSOFT and make a virus!"

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!