Email-Worm.Win32.Zafi.d

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через файлообменные сети.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь упакован при помощи FSG. Размер в запакованном виде - 12KB, в распакованном - 37KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь выдает следующее окно:

CRC: 04F7Bh, Error in packed file!

При инсталляции червь копирует себя в системный каталог Windows с именем "Norton Update.exe" и регистрирует этот файл в ключе автозагрузки системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "Wxp4"="C:\WINDOWS\SYSTEM32\Norton Update.exe"

Также червь создает в системном каталоге Windows файлы с произвольными именами с расширением dll.

Например:

%System%\csnhzdsb.dll
 %System%\gzapvzry.dll
 %System%\hrdkwxwu.dll
 %System%\icvwceot.dll

В этих файлах сохраняются адреса электронной почты, собранные на зараженном компьютере.

Также червь создает следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]

Червь создает уникальный идентификатор "Wxp4" для определения своего присутствия в системе.

Размножение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
 asp
 dbx
 eml
 fpt
 htm
 inb
 mbx
 php
 pmr
 sht
 tbb
 txt
 wab

Найденные адреса электронной почты сохраняются в созданных червем файлах с расширением dll в системном каталоге Windows.

Игнорируется отправка писем на адреса, содержащие строки:

admi
 cafee
 google
 help
 hotm
 info
 kasper
 micro
 msn
 panda
 secur
 sopho
 suppor
 syman
 trend
 use
 viru
 webm
 win
 yaho

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Характеристики зараженных писем

Зараженные письма рассылаются на разных языках. Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Тема письма:

Выбирается из списка:

boldog karacsony...
 Buon Natale!
 Christmas - Kartki!
 Christmas Kort!
 Christmas pohlednice
 Christmas postikorti!
 Christmas Postkort!
 Christmas Vykort!
 ecard.ru
 Feliz Navidad!
 Joyeux Noel!
 Merry Christmas!
 Prettige Kerstdagen!
 Weihnachten card.

Текст письма:

Выбирается из списка:

Happy HollyDays!
 :) [Sender]
 
 Kellemes Unnepeket!
 :) [Sender]
 
 Feliz Navidad!
 :) [Sender]
 
 Glaedelig Jul!
 :) [Sender]
 
 God Jul!
 :) [Sender]
 
 Iloista Joulua!
 :) [Sender]
 
 Naulieji Metai!
 :) [Sender]
 
 Wesolych Swiat!
 :) [Sender]
 
 Fröhliche Weihnachten!
 :) [Sender]
 
 Prettige Kerstdagen!
 :) [Sender]
 
 Veselé Vánoce!
 :) [Sender]
 
 Joyeux Noel!
 :) [Sender]
 
 Buon Natale!
 :) [Sender]

Имя файла-вложения:

Имя файла-вложения составляется произвольным образом, состоит из слова "postcard" на соответствующем языке, длинного набора символов и имеет одно из следующих расширений:

bat
 cmd
 com
 pif
 zip

Размножение через локальные и файлообменные сети

Червь копирует свой файл во все папки, в имени которых встречаются строки:

music
 share
 upload

Имя для файла выбирается из следующих вариантов:

ICQ 2005a new!.exe
 winamp 5.7 new!.exe

Например:

c:\Program Files\Common Files\Microsoft Shared\ ICQ 2005a new!.exe

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 8181 для приема команд. Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе.

Кроме того, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Действие

Червь пытается обнаружить на компьютере файлы некоторых антивирусных программ и межсетевых экранов выгружает их процессы из памяти и перезаписывает содержимое файлов своими копиями.