Worm.Win32.Feebs.h

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 55 КБ.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».

Например:

 
 %System%\msof.exe
 %System%\msrl

Также в системном каталоге Windows червь создает файл с именем «ms<2 произвольные буквы>32.dll».

Например:

 
 %System%\mslv32.dll
 

Также червь создает следующие ключи реестра:

 [HKLM\Software\Microsoft\ms<2 произвольные буквы>\dat]
 [HKLM\Software\Microsoft\ms<2 произвольные буквы>\sdat]
 [HKLM\Software\Microsoft\ms<2 произвольные буквы>\fdat]
 [HKLM\Software\Microsoft\ms<2 произвольные буквы>\ldat]
 
 

[HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32] "@"="%System%\ms<2 произвольные буквы>32.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Комбинируется по частям из следующих выражений:

     * E-mail
     * Encrypted
     * Extended
     * Html
     * Mail
     * Message
     * Protected
     * Secure
     * Service
     * System
 

Текст письма:

 Subject: happy new year
 ID: <случайный номер>
 Password: <случайный набор символов>
 
 Best Regards, или Thank you,
 <таже строка, что и в теме письма>,
 <доменное имя из адреса отправителя>
 

Имя файла-вложения:

Выбирается из списка:

 
     * data.zip
     * mail.zip
     * message.zip
     * msg.zip 
 

Распространение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

 
     * 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
     * ACDSee_9_new!_full+crack.zip
     * Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
     * Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
     * Ahead_Nero_8_new!_full+crack.zip
     * DivX_7.0_new!_full+crack.zip
     * ICQ_2006_new!_full+crack.zip
     * Internet_Explorer_7_new!_full+crack.zip
     * Kazaa_4_new!_full+crack.zip
     * Longhorn_new!_full+crack.zip
     * Microsoft_Office_2006_new!_full+crack.zip
     * winamp_5.2_new!_full+crack.zip

Действие

Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.