Email-Worm.Win32.Envid.a

Email-Worm.Win32.Envid.a («Лаборатория Касперского») также известен как: W32/Generic.a@MM (McAfee), W32.Envid.A@mm (Symantec), Win32.HLLW.Generic.97 (Doctor Web), Win32/VBMassMail.gen+ (RAV), WORM_BREEM.A (Trend Micro), Downloader.VB.5.R (Grisoft), Trj/Downloader.gen (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic и упакован ASPack. Размер в упакованном виде — примерно 37КБ, в распакованном — примерно 58КБ.

Инсталляция

После запуска червь копирует себя с именем FTPGRABER.EXE в корневой каталог Windows:

%Windir%\FTPGRABBER.EXE

Также в корневом каталоге Windows червь создает файл с именем WININIT.INI:

%Windir%\WININIT.INI

После чего червь регистрирует себя в ключах автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\RunServices]
   "FTPGraber"="%Windir%\FTPGRABBER.EXE"   

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Текст письма:

Содержит ссылку на зараженный файл, а также произвольный набор фраз из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Действие

Email-Worm.Win32.Envid.a пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

  
      * APLICA32.EXE
      * AVCONSOL.EXE
      * AVPM.EXE
      * CFIADMIN.EXE
      * CFIAUDIT.EXE
      * CFINET.EXE
      * CFINET32.EXE
      * IAMAPP.EXE
      * IAMSERV.EXE
      * LOCKDOWN2000.EXE
      * NAVAPSVC.EXE
      * NAVAPW32.EXE
      * NAVW32.EXE
      * NISUM.EXE
      * NMain.exe
      * PCFWallIcon.EXE
      * SAFEWEB.EXE
      * SAVSCAN.EXE
      * TDS2-98.EXE
      * VSSTAT.EXE
      * WEBSCANX.EXE