Email-Worm.Win32.Monikey.a

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя.

Email-Worm.Win32.Monikey.a ( «Лаборатория Касперского») также известен как: PWS-Vipgsm.dll ( McAfee), PWSteal.Trojan ( Symantec), Trojan.Starter ( Doctor Web), HTML.Bagle.BM-eml ( ClamAV), Trj/Vipgsm.W ( Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.

Инсталляция

После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:

%System%\mstcpmon.exe

Также в системном каталоге Windows червь создает следующие файлы:

%System%\chkdskw.exe
 %System%\itstore.dll
 %System%\kernel32.dll
 %System%\mslogon.dll
 %System%\mswshell.dll

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При этом червем игнорируются адреса, содержащие следующие подстроки:

.subscribe 
 @avp. 
 @fsecure 
 @hotmail 
 @iana 
 @messagelab 
 @microsoft 
 @norman 
 @norton 
 @symantec 
 @virusli 
 abuse 
 admin 
 anyone@ 
 bugs@ 
 cafee 
 certific 
 certs@ 
 contact@ 
 contract@ 
 feste 
 free-av 
 f-secur 
 gold- 
 gold-certs@ 
 google 
 help@ 
 hostmaster@ 
 icrosoft 
 info@ 
 linux 
 listserv 
 local 
 netadmin@ 
 nobody@ 
 noone@ 
 noreply 
 ntivi 
 oocies 
 panda 
 postmaster@ 
 rating@ 
 root@ 
 samples 
 sopho 
 support 
 update 
 winrar 
 winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Зараженные письма выглядят следующим образом:

Отправитель:

postcard service

Тема письма:

Открытка с POSTCARD.RU номер <произвольный номер>

Текст письма:

Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

ACDSee 9.exe
 Adobe Photoshop 9 full.exe
 Ahead Nero 7.exe
 Kaspersky Antivirus 5.0.exe
 KAV 5.0.exe
 Matrix 3 Revolution English Subtitles.exe
 Microsoft Office 2003 Crack, Working!.exe
 Microsoft Office XP working Crack, Keygen.exe
 Microsoft Windows XP, WinXP Crack, working Keygen.exe
 Opera 8 New!.exe
 Porno pics arhive, xxx.exe
 Porno Screensaver.scr
 Porno, sex, oral, anal cool, awesome!!.exe
 Serials.txt.exe
 WinAmp 5 Pro Keygen Crack Update.exe
 WinAmp 6 New!.exe
 Windown Longhorn Beta Leak.exe
 Windows Sourcecode update.doc.exe
 XXX hardcore images.exe 

Действие

Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.

Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.