Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 55 КБ.
Инсталляция
После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».
Например:
%System%\msof.exe %System%\msrl
Также в системном каталоге Windows червь создает файл с именем «ms<2 произвольные буквы>32.dll».
Например:
%System%\mslv32.dll
Также червь создает следующие ключи реестра:
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\dat] [HKLM\Software\Microsoft\ms<2 произвольные буквы>\sdat] [HKLM\Software\Microsoft\ms<2 произвольные буквы>\fdat] [HKLM\Software\Microsoft\ms<2 произвольные буквы>\ldat]
[HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32] "@"="%System%\ms<2 произвольные буквы>32.dll"
Распространение через email
Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Комбинируется по частям из следующих выражений:
* E-mail * Encrypted * Extended * Html * Mail * Message * Protected * Secure * Service * System
Текст письма:
Subject: happy new year ID: <случайный номер> Password: <случайный набор символов> Best Regards, или Thank you, <таже строка, что и в теме письма>, <доменное имя из адреса отправителя>
Имя файла-вложения:
Выбирается из списка:
* data.zip * mail.zip * message.zip * msg.zip
Распространение через файлообменные сети
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
* 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip * ACDSee_9_new!_full+crack.zip * Adobe_Photoshop_10_(CS3)_new!_full+crack.zip * Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip * Ahead_Nero_8_new!_full+crack.zip * DivX_7.0_new!_full+crack.zip * ICQ_2006_new!_full+crack.zip * Internet_Explorer_7_new!_full+crack.zip * Kazaa_4_new!_full+crack.zip * Longhorn_new!_full+crack.zip * Microsoft_Office_2006_new!_full+crack.zip * winamp_5.2_new!_full+crack.zip
Действие
Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.