Worm.Win32.Drew.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 30KB, упакован MEW. Размер распакованного файла около 168KB.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем "winlogoff.exe".

Затем изменяет следующую запись в системном реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="Explorer.exe winlogoff.exe"

Червь создает уникальный идентификатор "KiPiSx017ZxQ" для определения своего присутствия в системе.

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hello
Hi
love
Re:kiss
Re:Love

Текст письма:

Выбирается из списка:

Hello! I love sex, is you?
Hello baby,this is me screen!
Hello this is me present! Cool screen. Bye.
I Love You!:)
Your Present! Scrren is me faice:) Bye baby!

Имя файла-вложения:

Выбирается из списка:

FACE.SCR
I LOVE YOU.SCR
LOVE.SCR
PRESENT.SCR
SCREEN.SCR

Удаленное администрирование

Червь открывает на зараженной машине TCP порт 25 для соединения с mx1.hotmail.com.

Действие

Worm.Win32.Drew.a выгружает из системы различные межсетевые экраны и антивирусные программы.