Email-Worm.Win32.Envid.a

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.

Email-Worm.Win32.Envid.a («Лаборатория Касперского») также известен как: W32/Generic.a@MM (McAfee), W32.Envid.A@mm (Symantec), Win32.HLLW.Generic.97 (Doctor Web), Win32/VBMassMail.gen+ (RAV), WORM_BREEM.A (Trend Micro), Downloader.VB.5.R (Grisoft), Trj/Downloader.gen (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится копия червя.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic и упакован ASPack. Размер в упакованном виде — примерно 37КБ, в распакованном — примерно 58КБ.

Инсталляция

После запуска червь копирует себя с именем FTPGRABER.EXE в корневой каталог Windows:

%Windir%\FTPGRABBER.EXE

Также в корневом каталоге Windows червь создает файл с именем WININIT.INI:

%Windir%\WININIT.INI

После чего червь регистрирует себя в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\RunServices]
  "FTPGraber"="%Windir%\FTPGRABBER.EXE"   

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Текст письма:

Содержит ссылку на зараженный файл, а также произвольный набор фраз из списка:

* Assunto para o Envio E

* com voc

* Entrei no Charges.com.br e achei esta Charge parecida

* Lembrei de Voc

* Link para anexar a Mensagem

* Mensagem para o Envio

* Muito legal.

* Para ver a charge use este Link:

* txtAssunto

* URL do Executavel

Действие

Email-Worm.Win32.Envid.a пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

 
     * APLICA32.EXE
     * AVCONSOL.EXE
     * AVPM.EXE
     * CFIADMIN.EXE
     * CFIAUDIT.EXE
     * CFINET.EXE
     * CFINET32.EXE
     * IAMAPP.EXE
     * IAMSERV.EXE
     * LOCKDOWN2000.EXE
     * NAVAPSVC.EXE
     * NAVAPW32.EXE
     * NAVW32.EXE
     * NISUM.EXE
     * NMain.exe
     * PCFWallIcon.EXE
     * SAFEWEB.EXE
     * SAVSCAN.EXE
     * TDS2-98.EXE
     * VSSTAT.EXE
     * WEBSCANX.EXE