Email-Worm.Win32.Zafi.d

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь выдает следующее окно:

CRC: 04F7Bh, Error in packed file!

При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
 "Wxp4"="C:\WINDOWS\SYSTEM32\Norton Update.exe"

Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll.

Например:

%System%\csnhzdsb.dll
%System%\gzapvzry.dll
%System%\hrdkwxwu.dll
%System%\icvwceot.dll

В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере.

Также червь создает следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]

Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе.

Размножение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
eml
fpt
htm
inb
mbx
php
pmr
sht
tbb
txt
wab

Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows.

Игнорируется отправка писем на адреса, содержащие строки:

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
secur
sopho
suppor
syman
trend
use
viru
webm
win
yaho

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Тема письма:

Выбирается из списка:

boldog karacsony...
Buon Natale!
Christmas - Kartki!
Christmas Kort!
Christmas pohlednice
Christmas postikorti!
Christmas Postkort!
Christmas Vykort!
ecard.ru
Feliz Navidad!
Joyeux Noel!
Merry Christmas!
Prettige Kerstdagen!
Weihnachten card.

Текст письма:

Выбирается из списка:

Happy HollyDays!
:) [Sender]

Kellemes Unnepeket!
:) [Sender]

Feliz Navidad!
:) [Sender]

Glaedelig Jul!
:) [Sender]

God Jul!
:) [Sender]

Iloista Joulua!
:) [Sender]

Naulieji Metai!
:) [Sender]

Wesolych Swiat!
:) [Sender]

Fröhliche Weihnachten!
:) [Sender]

Prettige Kerstdagen!
:) [Sender]

Veselé Vánoce!
:) [Sender]

Joyeux Noel!
:) [Sender]

Buon Natale!
:) [Sender]

Имя файла-вложения:

Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений:

bat
cmd
com
pif
zip

Размножение через локальные и файлообменные сети

Червь копирует свой файл во все папки, в имени которых встречаются строки:

music
share
upload

Имя для файла выбирается из следующих вариантов:

ICQ 2005a new!.exe
winamp 5.7 new!.exe

Например:

c:\Program Files\Common Files\Microsoft Shared\ ICQ 2005a new!.exe

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями.