W32.Mexer.E@mm

W32.Mexer.E@mm Ц email червь, также распростран€ющийс€ через файлообменные сети.

W32.Mexer.E@mm Ц email червь, также распростран€ющийс€ через файлообменные сети.

ѕри запуске червь выполн€ет следующие действи€:

  1. —оздает папку %System%\sys32.
  2. —оздает собственные копии в папке %System%\sys32:
    Х  Ruby13.exe 
    Х  Nero Burning ROM v6.3 Ultra: Enterprise edition key.exe 
    Х  Counter-Strike, Condition Zero: Activation Key.exe 
    Х  icqbomber.exe 
    Х  BurnDvds.exe 
    Х  Dvd Ripper.exe 
    Х  Dvd To Vcd.exe 
    Х  Easy Dvd Ripper.exe 
    Х  EZ Dvd Ripper.exe 
    Х  Nimo Codec Pack Updater.exe 
    Х  Xvid Codec Installer.exe 
    Х  Starcraft + Broodwar 1.10 map hack.exe 
    Х  Starcraft + Broodwar 1.10 no-cd hack.exe 
    Х  Diablo 2 map hack.exe 
    Х  Diablo 2 no-cd hack.exe 
    Х  Jamella's Diablo 2 hero editor.exe 
    Х  Warcraft 3 map hack.exe 
    Х  Warcraft 3 stat hack.exe 
    Х  Warcraft 3 no-cd hack.exe 
    Х  Warcraft 3 Frozen Throne map hack.exe 
    Х  Warcraft 3 Frozen Throne cd-cd hack.exe 
    Х  The Frozen Throne map hack.exe 
    Х  Counterstrike hacks.exe 
    Х  Counterstrike aim hack.exe 
    Х  Crack McAfee 7.exe 
    Х  Crack Norton 3000.exe 
    Х  Borland KeyGens.exe 
    Х  SophosCrackAllVersion.exe 
    Х  PANDA.lusers.exe 
    Х  PANDA.AVers.lusers.exe 
    Х  MP3 encoder decoder V1.8.exe 
    Х  Cisco Certification Test.exe 
    Х  MSCE Certification Test.exe 
    Х  Windows Nt Certification Test.exe 
    Х  XBOX X-Fer Ripper and Transfer.exe 
    Х  Information.exe 
    Х  EBAY.exe 
    Х  VISA.EXE 
    Х  PROVIDER.EXE 
    Х  INTERNET.EXE
    
  3. —оздает собственные копии в папке %System%\sys32, добавл€€ в конец имени файла одну из следующих подстрок:
    Х	Keygen.exe 
    Х	Serial.exe 
    Х	NoCD.exe 
    Х	Crack.exe
    
    к каждому из следующих файлов:
    Х	Norton AntiVirus 2004 Pro Activation Key & 
    Х	Microsoft Windows XP Professional 
    Х	Adobe Photoshop CS and ImageReady CS 8.0 
    Х	Zone Alarm 5.0 pro 
    Х	Harry Potter and the Prisoner of Azkaban KeyGen and 
    Х	Norton Internet Security 2004 Keygen & 
    Х	All Adobe Products 
    Х	All Macromedia Products 
    Х	All Microsoft Products 
    Х	Divx Pro 5.1 
    Х	Dvd Plus 
    Х	Dvd Wizard Pro 
    Х	Dvd Xcopy 
    Х	DvdCopyOne 
    Х	DvdToVcd 
    Х	Easy Dvd creator 
    Х	Nero Burning Rom 
    Х	BitDefender 
    Х	Nod32 
    Х	Ipswich Town Official Management Game - 
    Х	Bridge Baron 13 
    Х	American Conquest - 
    Х	Grom - 
    Х	Slot City 3 
    Х	Command and Conquer Generals 
    Х	Nascar Racing 2003 Season 
    Х	Eonix Realm Of Hepmia - 
    Х	I Was An Atomic Mutant - 
    Х	Fetish Fighters - 
    Х	Battlefield 1942 The Road to Rome - 
    Х	The Campaigns of La Grande Armee - 
    Х	Unreal II The Awakening - 
    Х	The Emperors Mahjong - 
    Х	Sim City 4 - 
    Х	Private Nurse - 
    Х	Impossible Creatures - 
    Х	Test Drive - 
    Х	Shadow of Memories - 
    Х	World Of Outlaws Sprint Car Racing 2002 - 
    Х	Tombstone 1882 - 
    Х	Airport Tycoon II - 
    Х	Apache AH-64 Air Assault - 
    Х	A+ Certification Test.exe 
    Х	Serious Sam - Gold Edition - 
    Х	IGI-2 Covert Strike - 
    Х	Tom Clancys Splinter Cell - 
    Х	Robot Arena Design And Destroy - 
    Х	Freelancer - 
    Х	Battlefield Vietnam - 
    Х	Deus Ex - 
    Х	Forbidden Siren - 
    Х	Doom 3 - 
    Х	WinRAR 3 
    Х	WinACE 
    Х	WinZIP 9 
    Х	Norton AntiVirus 2005 
    Х	Shrek 2 
    Х	Spider-Man 2 
    Х	Spellforce - Breath of Winter 
    Х	Norton Internet Security 2005 Pro 
    Х	Norton Internet Security 2004 Pro 
    Х	Symantec Internet Secutiy 2005 
    Х	Symantec Antivirus 2005 
    Х	Harry Potter und der Gefangene von Askaban 
    Х	Kazaa all 
    Х	Windows Server 2003 
    Х	Office XP Universal
    
  4. —оздает значение "Ruby13"="C:\sysnet\Ruby13.exe" в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра.
  5. —оздает значение "Dir0"="012345:c:\sysnet\" в следующих ключах реестра:
    HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent\
    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    HKEY_CURRENT_USER\Software\Kazaa\Transfer
    
  6. —обирает email адреса в файлах со следующим расширением:
    Х  wab 
    Х  .dbx 
    Х  .htm 
    Х  .sht 
    Х  .txt 
    Х  .doc 
    Х  .rtf
    
  7. „ервь игнорирует email адреса, содержащие следующие строки:
    Х  supp 
    Х  webm 
    Х  viru 
    Х  newv 
    Х  kasp 
    Х  micr 
    Х  root 
    Х  admi 
    Х  host
    
  8. ѕосылает свою копию по найденным email адресам, использу€ встроенный SMTP сервер. Email содержит следующие характеристики: «аголовок сообщени€:
    Х	EBAY Information 
    Х	VISA Information 
    Х	Provider Information 
    Х	Your Crack 
    Х	Internet Information
    
    “ело сообщени€:
     
    Х	EBAY Installer... 
    Х	Security Tool... 
    Х	Here is your crack! 
    Х	New account data...
    
    ¬ложение Ц случайный файл из C:\sysnet размером 30.720 байт.
  9. „ервь также отображает диалоговое окно с заголовком "Ruby V1.3, (c)BI 16.08.2004" и текстом "Fight against MICROSOFT and make a virus!"