Email-Worm.Win32.Envid.a

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.

Email-Worm.Win32.Envid.a («Лаборатория Касперского») также известен как: W32/Generic.a@MM (McAfee), W32.Envid.A@mm (Symantec), Win32.HLLW.Generic.97 (Doctor Web), Win32/VBMassMail.gen+ (RAV), WORM_BREEM.A (Trend Micro), Downloader.VB.5.R (Grisoft), Trj/Downloader.gen (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic и упакован ASPack. Размер в упакованном виде — примерно 37КБ, в распакованном — примерно 58КБ.

Инсталляция

После запуска червь копирует себя с именем FTPGRABER.EXE в корневой каталог Windows:

%Windir%\FTPGRABBER.EXE

Также в корневом каталоге Windows червь создает файл с именем WININIT.INI:

%Windir%\WININIT.INI

После чего червь регистрирует себя в ключах автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices]
 "FTPGraber"="%Windir%\FTPGRABBER.EXE"   

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Текст письма:

Содержит ссылку на зараженный файл, а также произвольный набор фраз из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Действие

Email-Worm.Win32.Envid.a пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:


    * APLICA32.EXE
    * AVCONSOL.EXE
    * AVPM.EXE
    * CFIADMIN.EXE
    * CFIAUDIT.EXE
    * CFINET.EXE
    * CFINET32.EXE
    * IAMAPP.EXE
    * IAMSERV.EXE
    * LOCKDOWN2000.EXE
    * NAVAPSVC.EXE
    * NAVAPW32.EXE
    * NAVW32.EXE
    * NISUM.EXE
    * NMain.exe
    * PCFWallIcon.EXE
    * SAFEWEB.EXE
    * SAVSCAN.EXE
    * TDS2-98.EXE
    * VSSTAT.EXE
    * WEBSCANX.EXE