Email-Worm.Win32.Atak.h

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 11KB (упакован FSG, размер распакованного файла - около 25KB).

Зараженные письма

Тема:

Выбирается из следующих:

Happy New Year!
 Merry X-Mas!

Текст:

Выбирается из следующих:

Happy New year and wish you good luck on next year!
 Mery Chrismas & Happy New Year! 2005 will be the beginning!

Имя файла-вложения:

Выбирается из следующих:

bat.zip
 com.zip
 pif.zip
 scr.zip

Червь активизируется, если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь не загружает себя в память повторно.

Инсталляция

При инсталляции червь копирует себя с именем "dec25.exe" в системный каталог Windows и модифицирует файл "win.ini" для своего последующего запуска - добавляет полное имя файла "dec25.exe" в ключ "run" секции [windows]:

[windows]
 run=%SystemDir%\dec25.exe

Рассылка писем

При рассылке писем использует червь использует прямое подключение к SMTP-серверу получателя.

Червь сканирует файлы на дисках зараженного компьютера с расширениями из приводимого ниже списка с целью получения электронных адресов, по которым впоследствии производится рассылка зараженных писем.

asp
 dbx
 eml
 jsp
 htm
 mht
 msg
 php
 txt