Email-Worm.Win32.Wurmark.b

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

По своим функциям практически идентичен варианту Wurmark.a.

Отличается от него следующими изменениями:

  1. Вместо файла "%System%\winit.exe" червь создает файл "%System%\winprotect.exe".
  2. Имя файла-вложения в зараженном письме выбирается произвольным образом из списка:

    • admire_001.exe
    • for_you.pif
    • Hapy-new-year.scr
    • is_this_you.scr
    • love_04.scr
    • Mary-Christmas.scr
    • Pic_001.exe
    • Photo_01.pif

  3. Червь изменяет файл "%System%\drivers\etc\hosts", дописывая в него нижеприведенный текст и, тем самым, закрывая доступ к следующим ресурсам:
    127.0.0.1       localhost
    127.0.0.1       rads.mcafee.com
    127.0.0.1       liveupdate.symantecliveupdate.com
    127.0.0.1       update.symantec.com
    127.0.0.1       downloads-us2.kaspersky-labs.com
    127.0.0.1       downloads-us3.kaspersky-labs.com
    127.0.0.1       downloads-us4.kaspersky-labs.com
    127.0.0.1       updates3.kaspersky-labs.com
    127.0.0.1       symantecliveupdate.com
    127.0.0.1       symatec.com
    127.0.0.1       downloads3.kaspersky-labs.com
    127.0.0.1       ftp.downloads1.kaspersky-labs.com
    127.0.0.1       liveupdate.symantecliveupdate.com
    127.0.0.1       liveupdate.symantec.com
    127.0.0.1       updates1.kaspersky-labs.com
    127.0.0.1       downloads-us1.kaspersky-labs.com
    127.0.0.1       updates1.kaspersky-labs.com
    127.0.0.1       updates2.kaspersky-labs.com
    127.0.0.1       updates3.kaspersky-labs.com
    127.0.0.1       downloads1.kaspersky-labs.com
    127.0.0.1       downloads2.kaspersky-labs.com
    127.0.0.1       downloads3.kaspersky-labs.com
    127.0.0.1       ftp.downloads1.kaspersky-labs.com
    127.0.0.1       ftp.downloads2.kaspersky-labs.com
    127.0.0.1       ftp.downloads3.kaspersky-labs.com