Security Lab

Worm.Win32.Feebs.h

Worm.Win32.Feebs.h

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 55 КБ.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».

Например:

  
  %System%\msof.exe
  %System%\msrl

Также в системном каталоге Windows червь создает файл с именем «ms<2 произвольные буквы>32.dll».

Например:

  
  %System%\mslv32.dll
  

Также червь создает следующие ключи реестра:

  [HKLM\Software\Microsoft\ms<2 произвольные буквы>\dat]
  [HKLM\Software\Microsoft\ms<2 произвольные буквы>\sdat]
  [HKLM\Software\Microsoft\ms<2 произвольные буквы>\fdat]
  [HKLM\Software\Microsoft\ms<2 произвольные буквы>\ldat]
  
  

[HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32] "@"="%System%\ms<2 произвольные буквы>32.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Комбинируется по частям из следующих выражений:

      * E-mail
      * Encrypted
      * Extended
      * Html
      * Mail
      * Message
      * Protected
      * Secure
      * Service
      * System
  

Текст письма:

  Subject: happy new year
  ID: <случайный номер>
  Password: <случайный набор символов>
  
  Best Regards, или Thank you,
  <таже строка, что и в теме письма>,
  <доменное имя из адреса отправителя>
  

Имя файла-вложения:

Выбирается из списка:

  
      * data.zip
      * mail.zip
      * message.zip
      * msg.zip 
  

Распространение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

  
      * 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
      * ACDSee_9_new!_full+crack.zip
      * Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
      * Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
      * Ahead_Nero_8_new!_full+crack.zip
      * DivX_7.0_new!_full+crack.zip
      * ICQ_2006_new!_full+crack.zip
      * Internet_Explorer_7_new!_full+crack.zip
      * Kazaa_4_new!_full+crack.zip
      * Longhorn_new!_full+crack.zip
      * Microsoft_Office_2006_new!_full+crack.zip
      * winamp_5.2_new!_full+crack.zip

Действие

Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!