Security Lab

Email-Worm.Win32.Salga.a

Email-Worm.Win32.Salga.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена, открытым сетевым ресурсам и IRC-каналам.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена, открытым сетевым ресурсам и IRC-каналам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows, имеет размер около 36КБ, упакован MEW. Размер распакованного файла около 307КБ.

Инсталляция

При инсталляции червь копирует себя в папку автозагрузки с именем "egy~1.exe".

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\egy~1.exe

После запуска червь создает различные папки, в которые копирует себя под следующими именами:

%ProgramFiles%\Accessories\BRITNY SPEARS MARRAGE.zip...............exe
%ProgramFiles%\Accessories\Details of new friends.zip...............exe
%ProgramFiles%\Accessories\Details.zip...............exe
%ProgramFiles%\Accessories\hard sex files.zip...............exe
%ProgramFiles%\Accessories\Is Bnladen realy cow boy.zip...............exe
%ProgramFiles%\Accessories\kasper2005.zip...............exe
%ProgramFiles%\Accessories\Nicole Kidman.zip...............exe
%ProgramFiles%\mirc\Britny spears marriage with Bnladen son.zip.exe
%ProgramFiles%\mirc32\Britny spears marriage with Bnladen son.zip.exe
%Windir%\acdsee demo.exe
%Windir%\All Users\Desktop\sex cam\sex photoes of monika.zip.exe
%Windir%\All Users\Start Menu\Programs\StartUp\ana~1.exe
%Windir%\Start Menu\inter net speeder.zip.exe
%Windir%\start menu\programs\new chat prog.zip.exe
%Windir%\system\system copy.exe
%Windir%\system32\egywormo[gen1].exe
C:\Britny spears marrage with Bnladensun.zip
C:\Britny\NEW FILM.ZIP.EXE
C:\Documents and Settings\All Users\DESKTOP\holywood stuff film.zip.exe
C:\Documents and Settings\All Users\Start Menu\nicole kidman sexy cam.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\magic graphices maker.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\your sexy cam.zip.exe
C:\hard core hook from web\setup.zip.exe
D:\FUN.ZIP.EXE
D:\girlfriends emails.zip.exe
D:\hook all sex movies from webs\setup.zip.exe
E:\blood of fetch sex.zip.exe
E:\Messenger 9.00.ZIP.EXE
E:\real sex telephones\me.zip.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "system xp"="%Windir%\acdsee demo.exe"
   "windows"="%Windir%\system\system copy.exe"

Также червь создает следующие ключи реестра:

[HKEY_CURRENT_USER\Software\Kazaa\Transfer]
   "StartKazaa -SilentRun"="%ProgramFiles%\Kazaa\My Shared Folder\Shared"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares]
   "Britny"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

Характеристики зараженных писем

Червь отправляет два почтовых сообщения, одно из которых отсылается автору вируса, а другое - потенциальной жертве.

Характеристики письма, отправляемого автору вируса:

Адрес получателя:

mgasalgya_4ever@hotmail.com

Тема письма:

Выбирается из списка:

Sir new victem 
  Egywormo give her sir email of victem

Текст письма:

Hi:sir i'm your server Egywormo[gen1] this is new victem who has own outlook machine i caputre his contacts and go there to infect them.... ok i'll go now and see you soon when i infect more ......bibi sir
<password of victem email>

Характеристики письма, отправляемого потенциальной жертве:

Тема письма:

Выбирается из списка:

Nicole kidman secrets
  BRITNY SPEARS MARRAGE
  Is Bnladen realy cow boy
  To contact new friends
  Chance for holyday
  New version of kasper fire wall
  SEXY FILES

Текст письма:

Выбирается из списка:

Hi,this is secret files of <<Nicole Kidman>> contain her sexy photoes in Florida,her credits ,part of her new film {Bn-laden days} and her telephones numers with here email.....see it and replay us please ..... it is very interesting secret files ..bibi

Hi,this is secret files of <<Britny spears>> contain her marrage photoes in
texas,part of her marrage party and her reactions about madona.....see it and replay us please ..... it is very interesting secret files ..bibi

Hi: mr or miss some amricans say befor 20 yrs Bnladen was cow boy these photoes and parts of vidioes prove it <<photos and vedioes in attachement file>> If u you want to have anice holyday you must call us at this adress USA MITCHGEN and we will give greate offer details in this attachment

Hi:miss or mr you can contact new friends all ever the world deatails in attachmment file
this is the new update and last version of kasper fire wall it contains more and new advantages This attachmment contain very hard sexy photos with part of sexy films interest and replay us

Hi;this is some photoes of Britney Spears marrage with Bnladen son in flash file so<<<<if the winzip file not run you must change the extention to exe to execute it

Имя файла-вложения:

Britny spears marrage with Bnladensun.zip

Размножение через локальные и файлообменные сети

Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

Britny spears and Madona sex viedio in 24 min only.zip.................exe
  Iraq war.zip.................exe
  last messengers versions.zip.................exe
  learn photo shop in 3 days only.zip.................exe
  new cupied photos.zip.................exe
  new girls emails with there phone numbers.zip.................exe
  strong fire wall allover the world with thelast update of norton.zip.................exe
  USA discvered water in mars yesterday.doc.zip.................exe

Червь копирует себя в созданную папку "%ProgramFiles%\Kazaa\My Shared Folder\Shared" под следующими именами:

)..zip.........exe
  [SWF] - Harry Potter and the philosophers
  [SWF] - Swordfish.........exe
  [SWF] - The Fast and the Furious.zip.........exe
  3d msn version 10.1.zip................exe
  3dstoudio.zip.........exe
  animal photos.zip.........exe
  anti virus.zip.........exe
  antibiotics.zip.........exe
  aol.zip.........exe
  autocade.zip.........exe
  big one in the world.zip.........exe
  Britny Spears.zip.........exe
  Cat attacks child.zip.........exe
  cocacola.zip.........exe
  Comedy video.zip.........exe
  computers in 2010.zip.........exe
  deutsh programs.zip.........exe
  Dracola.zip.........exe
  FBI secrets.zip.........exe
  fear.zip.........exe
  fire wall.zip.........exe
  FlashMovie.zip.........exe
  FOOTBALL IN ENGLAND.zip.........exe
  Game_Crack_Genie_v0.5.zip.........exe
  hack.zip.........exe
  hard core.zip.........exe
  huge sexy brests program v 1.7.00.zip.exe
  i robot.zip.........exe
  lesbien.zip.........exe
  MacroMedia Flash 6.0.zip.........exe
  mirc.zip.........exe
  ms games.zip.........exe
  MsDos_PortScanner.zip.........exe
  new film.zip.........exe
  news paper.zip.........exe
  news.zip.........exe
  norton 2005.zip.........exe
  office 2005.zip.........exe
  pebsi.zip.........exe
  photo shop.zip.........exe
  scince of water.zip.........exe
  sex plus.zip.........exe
  Shockwave Flash.zip.........exe
  Simpsons Episode (#
  songs.zip.........exe
  ssPamela_Anderson_(Naked Screen Saver).scr.........exe
  ssParis_Hilton_(Nude Screen Saver).scr.............exe
  stone.zip.........exe
  SWF.zip.........exe
  SWF_Movie.zip.........exe
  this files is very secret files.zip.........exe
  tourism.zip.........exe
  TOY 2006.zip.........exe
  Tutorial Video on Hacking.........exe
  USA secrets.zip.........exe
  viagra.zip.........exe
  Virtual_3D_Pinball.zip.........exe
  virus.zip.........exe
  visual basic projects.zip.........exe
  Win32System_Tweaks_v1.0.zip.........exe
  Wmplayer_Celebrity_Skins.zip.........exe
  wwf.zip.........exe
  xxl plus.zip.........exe
  XXX video.zip.........exe
  yahoo.zip.........exe

Червь копирует себя в возможные скрытые сетевые ресурсы под именами:

admin$\system32\see this it is very intersting.zip...................................exe
  C$\documment and settings\all users\documents\secret documents.zip......................exe
  C$\money generator very dengerous and secrt.zip..........................exe
  C$\shared\my sallary every mmonth increaser.................................exe
  C$\windows\system32\pass word of hotmail store.zip................exe
  C$\winnt\systemm32\speial films links in net.zip.............................exe
  ipc$\secret photoes from my chat.zip...............................exe

Размножение через IRC-каналы

Чтобы рассылать свои копии другим пользователям IRC, находящимся на том же канале, что и зараженный компьютер, червь перезаписывает следующие файлы:

%ProgramFiles%\mIRC\script.ini
  %ProgramFiles%\mIRC32\script.in

Через IRC червь рассылает свою копию:

Britny spears marriage with Bnladen son.zip.exe

Прочее

На зараженном компьютере червь открывает один из следующих интернет сайтов:

http://a7meedye.jeeran.com/counter.htm
  http://www.hotmail.com
  http://www.hotmmail.com
  http://www.new chat.net
  http://www.originalicons.com/?oi=funnyphotos.php?emailfrom=mgasalgya_4ever@hotmail.com!pi%20c=woman.jpg#topofpage

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Новости по теме

Microsoft не смогла изъять свою новую модель WizardLM 2 из публичного доступа

Исследователи из MIT обнаружили новую молекулу в космосе

Телескопу Хаббл 34 года: NASA показала завораживающий кадр звездных войн

США осознали, что их санкции бесполезны, пока у Китая есть доступ к RISC-V

СКИПА PentOps: непрерывный контроль и оперативное реагирование на киберугрозы

Nginx 1.26.0:HTTP/3, улучшенная защита от DoS-атак и оптимизация производительности

Cordova App Harness: путаница зависимостей открывает хакерам доступ в чужое ПО

Phi-3: как маленькая, но мощная ИИ-модель от Microsoft преобразует бизнес

Fedora Linux 40: что нового?