Worm.Win32.Feebs.h

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 55 КБ.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».

Например:


%System%\msof.exe
%System%\msrl

Также в системном каталоге Windows червь создает файл с именем «ms<2 произвольные буквы>32.dll».

Например:


%System%\mslv32.dll

Также червь создает следующие ключи реестра:

[HKLM\Software\Microsoft\ms<2 произвольные буквы>\dat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\sdat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\fdat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\ldat]

[HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32] "@"="%System%\ms<2 произвольные буквы>32.dll"

Распространение через email

Для поиска адресов жертв червь сканирует адресную книгу MS Outlook и рассылает себя по всем найденным в ней адресам электронной почты.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Комбинируется по частям из следующих выражений:

    * E-mail
    * Encrypted
    * Extended
    * Html
    * Mail
    * Message
    * Protected
    * Secure
    * Service
    * System

Текст письма:

Subject: happy new year
ID: <случайный номер>
Password: <случайный набор символов>

Best Regards, или Thank you,
<таже строка, что и в теме письма>,
<доменное имя из адреса отправителя>

Имя файла-вложения:

Выбирается из списка:


    * data.zip
    * mail.zip
    * message.zip
    * msg.zip 

Распространение через файлообменные сети

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:


    * 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
    * ACDSee_9_new!_full+crack.zip
    * Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
    * Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
    * Ahead_Nero_8_new!_full+crack.zip
    * DivX_7.0_new!_full+crack.zip
    * ICQ_2006_new!_full+crack.zip
    * Internet_Explorer_7_new!_full+crack.zip
    * Kazaa_4_new!_full+crack.zip
    * Longhorn_new!_full+crack.zip
    * Microsoft_Office_2006_new!_full+crack.zip
    * winamp_5.2_new!_full+crack.zip

Действие

Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.