Email-Worm.Win32.Monikey.a

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя.

Email-Worm.Win32.Monikey.a («Лаборатория Касперского») также известен как: PWS-Vipgsm.dll (McAfee), PWSteal.Trojan (Symantec), Trojan.Starter (Doctor Web), HTML.Bagle.BM-eml (ClamAV), Trj/Vipgsm.W (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.

Инсталляция

После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:

%System%\mstcpmon.exe

Также в системном каталоге Windows червь создает следующие файлы:

%System%\chkdskw.exe
%System%\itstore.dll
%System%\kernel32.dll
%System%\mslogon.dll
%System%\mswshell.dll

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При этом червем игнорируются адреса, содержащие следующие подстроки:

.subscribe 
@avp. 
@fsecure 
@hotmail 
@iana 
@messagelab 
@microsoft 
@norman 
@norton 
@symantec 
@virusli 
abuse 
admin 
anyone@ 
bugs@ 
cafee 
certific 
certs@ 
contact@ 
contract@ 
feste 
free-av 
f-secur 
gold- 
gold-certs@ 
google 
help@ 
hostmaster@ 
icrosoft 
info@ 
linux 
listserv 
local 
netadmin@ 
nobody@ 
noone@ 
noreply 
ntivi 
oocies 
panda 
postmaster@ 
rating@ 
root@ 
samples 
sopho 
support 
update 
winrar 
winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Зараженные письма выглядят следующим образом:

Отправитель:

postcard service

Тема письма:

Открытка с POSTCARD.RU номер <произвольный номер>

Текст письма:

Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Kaspersky Antivirus 5.0.exe
KAV 5.0.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe 

Действие

Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.

Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.