Worm.Win32.Drew.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 30KB, упакован MEW. Размер распакованного файла около 168KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "winlogoff.exe".

Затем изменяет следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell"="Explorer.exe winlogoff.exe"

Червь создает уникальный идентификатор "KiPiSx017ZxQ" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hello
 Hi
 love
 Re:kiss
 Re:Love

Текст письма:

Выбирается из списка:

Hello! I love sex, is you?
 Hello baby,this is me screen!
 Hello this is me present! Cool screen. Bye.
 I Love You!:)
 Your Present! Scrren is me faice:) Bye baby!

Имя файла-вложения:

Выбирается из списка:

FACE.SCR
 I LOVE YOU.SCR
 LOVE.SCR
 PRESENT.SCR
 SCREEN.SCR

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 25 для соединения с mx1.hotmail.com.

Действие

Worm.Win32.Drew.a выгружает из системы различные межсетевые экраны и антивирусные программы.