Email-Worm.Win32.Wurmark.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя следующие уязвимости:

Червь является приложением Windows, имеет размер около 423КБ, упакован MEW. Размер распакованного файла около 1159КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После своего запуска червь открывает окно, в котором показывает файл "uglym.jpg":

При инсталляции червь копирует себя с именем "xxz.tmp" в системный каталог Windows.

Червь создает в системном каталоге Windows следующие файлы:

%System%\ANSMTP.DLL
 %System%\attached.zip
 %System%\bszip.dll
 %System%\SVKP.sys
 %System%\uglym.jpg
 %System%\winit.exe

Email-Worm.Win32.Wurmark.a регистрирует себя в ключах автозагрузки системного реестра:

[HKCU\Software\Microsoft\OLE]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "virtual"="winit.exe"

Также червь создает следующие ключи реестра:

[HKCR\ANSMTP.MassSender.1]
 [HKCR\ANSMTP.MassSender]
 [HKCR\ANSMTP.OBJ.1]
 [HKCR\ANSMTP.OBJ]
 [HKCR\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}]
 [HKCR\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}]
 [HKCR\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}]
 [HKCR\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}]
 [HKCR\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}]
 [HKCR\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}]
 [HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}]
 [HKLM\SYSTEM\CurrentControlSet\Enum\Root\SVKP]
 [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
 asp
 dbx
 doc
 htm
 html
 php
 sht
 tbb
 txt
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.gov
 adaware
 avguk
 grisoft
 kaspersky
 lavasoft
 mcafee
 nod32
 pandasoftware
 sophos
 symantec
 trendmicro

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hhahahah lol!!!!
 Rate My Pic.......
 You have an Admirer
 Your Pic On A Website!!

Текст письма:

Выбирается из списка:

i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...

I was looking at a website and came across this pic they look just like you! infact im sure is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say I wont be offended p.s i was drunk when it was taken :P

Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.

Имя файла-вложения:

Выбирается из списка:

admire_001.exe
 attachment.zip
 for_you.pif
 is_this_you.scr
 love_04.scr
 Photo_01.pif
 Pic_001.exe
 Scan_04.scr
 Sexy_09.scr

Размножение через локальную сеть

Червь копирует себя в следующие доступные сетевые ресурсы:

ADMIN$
 C$
 D$
 IPC$

Удаленное администрирование

Червь подключается к серверу windowss.serveftp.com и открывает произвольный TCP-порт на зараженной машине для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.