Email-Worm.Win32.Wurmark.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по слабозащищенным сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также вирус распространяется, используя следующие уязвимости:

Червь является приложением Windows, имеет размер около 423КБ, упакован MEW. Размер распакованного файла около 1159КБ.

Червь содержит в себе бэкдор-функцию.

Инсталляция

После своего запуска червь открывает окно, в котором показывает файл "uglym.jpg":

При инсталляции червь копирует себя с именем "xxz.tmp" в системный каталог Windows.

Червь создает в системном каталоге Windows следующие файлы:

%System%\ANSMTP.DLL
%System%\attached.zip
%System%\bszip.dll
%System%\SVKP.sys
%System%\uglym.jpg
%System%\winit.exe

Email-Worm.Win32.Wurmark.a регистрирует себя в ключах автозагрузки системного реестра:

[HKCU\Software\Microsoft\OLE]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "virtual"="winit.exe"

Также червь создает следующие ключи реестра:

[HKCR\ANSMTP.MassSender.1]
[HKCR\ANSMTP.MassSender]
[HKCR\ANSMTP.OBJ.1]
[HKCR\ANSMTP.OBJ]
[HKCR\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}]
[HKCR\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}]
[HKCR\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}]
[HKCR\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}]
[HKCR\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}]
[HKCR\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}]
[HKCR\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\SVKP]
[HKLM\SYSTEM\CurrentControlSet\Services\SVKP]

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями:

adb
asp
dbx
doc
htm
html
php
sht
tbb
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.gov
adaware
avguk
grisoft
kaspersky
lavasoft
mcafee
nod32
pandasoftware
sophos
symantec
trendmicro

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

Hhahahah lol!!!!
Rate My Pic.......
You have an Admirer
Your Pic On A Website!!

Текст письма:

Выбирается из списка:

i found this on my computer from ages ago download it and see if you can remember it lol i was lauging like mad when i saw it! :D email me back haha...

I was looking at a website and came across this pic they look just like you! infact im sure is it someonce else :S ? Ive Added the pic in a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate my pic!! :( please download and tell me what you think out of 10 , dont worry if you dont like it just say I wont be offended p.s i was drunk when it was taken :P

Someone has asked us on there behalf to send you this email and tell you they think you are wonderfull!!! All the The mystery persons details you need are enclosed in the attachment :) please download and respond telling us if you would like to make further contact with this person. Regards Hallmark Admirer Mail Admin.

Имя файла-вложения:

Выбирается из списка:

admire_001.exe
attachment.zip
for_you.pif
is_this_you.scr
love_04.scr
Photo_01.pif
Pic_001.exe
Scan_04.scr
Sexy_09.scr

Размножение через локальную сеть

Червь копирует себя в следующие доступные сетевые ресурсы:

ADMIN$
C$
D$
IPC$

Удаленное администрирование

Червь подключается к серверу windowss.serveftp.com и открывает произвольный TCP-порт на зараженной машине для приема команд.

Функционал бэкдора позволяет злоумышленнику получить полный доступ к системе. Кроме этого, бэкдор может загружать из интернета и запускать на исполнение произвольные файлы.