Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Т name=doc1>ехнические детали |
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — 113551 байт, размер в распакованном виде — 251791 байт.
После запуска червь выдает окно, содержащее следующую ошибку:
При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\services.exe
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "WinInet"="%Windir%\ConnectionStatus\services.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "_WinInet"="%Windir%\ConnectionStatus\services.exe"
Также червь создает свою версию в кодировке base64 с именем netslot.nst:
%Windir%\ConnectionStatus\netslot.nst
Также червь создает следующий файл для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\socket.dli
Также червем создаются файлы в системном каталоге Windows с различными именами:
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приводимого ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.
Игнорируется отправка писем на адреса, содержащие строки:
aero com coop edu gov info int museum name net org pro
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehngt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)
liebe gr
<подпись, выбираемая из приведенного ниже списка>