Email-Worm.Win32. FunnyPics

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Представляет собой Windows PE EXE-файл размером 14316 байт.

Инсталляция

Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:

%WinDir%\brsh32.exe

Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:

 
 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
  "brsh32Service"="%WinDir%\brsh32.exe -q"
 

При каждой следующей загрузке Windows автоматически запустит новый сервис.

Червь совмещает в себе две процедуры:

1. распространение по электронной почте;

2. бэкдор-процедура удаленного управления компьютером.

На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Тема письма

При составлении письма тема выбирается случайным образом из следующего списка:

    * are you ready to enjoy?
     * do you wanna laugh out?
     * Download funny pics for free!
     * download screensavers for free!
     * Free pics and screensavers
     * free screensaver
     * funny pics is online again!
     * funnypics special offer
     * huff OUT!
     * humor OnLine
     * hunk of fun!
     * Listen to Dr.Fun
     * pics & screensavers
     * ready? steady? laugh!
     * Save your screen!
     * what you wanna see?
 

Содержимое письма

Тело письма постоянно и представляет собой следующий текст:

Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com

Вложение

В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.

Имя файла случайным образом выбирается из следующего списка:

     * billBates.scr
     * bzzz.scr
     * funnyPic.scr
     * intelAside.scr
     * kennyIsAlive.scr
     * mac0s.scr
     * matrix-SP.scr
     * mrBrown.scr
     * nastyPokemon.scr
     * paradise.scr
     * phantomMenaze.scr
     * southPark.scr
     * SouthParkOuttaSpace.scr
     * starWarz.scr
     * waaazUp.scr
     * x-filez.scr
 

Деструктивная активность

Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.

Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Другие названия

Email-Worm.Win32.FunnyPics («Лаборатория Касперского») также известен как: I-Worm.FunnyPics («Лаборатория Касперского»), W95/Outspace.worm (McAfee), W95.Outspace.Worm@mm (Symantec), Win32.HLLW.Brsh.14316 (Doctor Web), Troj/Brsh (Sophos), Win32/Brsh.A@mm (RAV), WORM_FUNNYPICS.A (Trend Micro), Worm/FunnyPics (H+BEDV), Win32:BRSH (ALWIL), I-Worm/FunnyPic (Grisoft), Win32.HLLW.Brsh.14316 (SOFTWIN), Worm.FunnyPics (ClamAV), W32/FunnyPics (Panda), Win32/FunnyPics.A (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.