Email-Worm.Win32. FunnyPics

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Представляет собой Windows PE EXE-файл размером 14316 байт.

Инсталляция

Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:

%WinDir%\brsh32.exe

Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "brsh32Service"="%WinDir%\brsh32.exe -q"

При каждой следующей загрузке Windows автоматически запустит новый сервис.

Червь совмещает в себе две процедуры:

1. распространение по электронной почте;

2. бэкдор-процедура удаленного управления компьютером.

На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Тема письма

При составлении письма тема выбирается случайным образом из следующего списка:

    * are you ready to enjoy?
    * do you wanna laugh out?
    * Download funny pics for free!
    * download screensavers for free!
    * Free pics and screensavers
    * free screensaver
    * funny pics is online again!
    * funnypics special offer
    * huff OUT!
    * humor OnLine
    * hunk of fun!
    * Listen to Dr.Fun
    * pics & screensavers
    * ready? steady? laugh!
    * Save your screen!
    * what you wanna see?

Содержимое письма

Тело письма постоянно и представляет собой следующий текст:

Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com

Вложение

В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.

Имя файла случайным образом выбирается из следующего списка:

    * billBates.scr
    * bzzz.scr
    * funnyPic.scr
    * intelAside.scr
    * kennyIsAlive.scr
    * mac0s.scr
    * matrix-SP.scr
    * mrBrown.scr
    * nastyPokemon.scr
    * paradise.scr
    * phantomMenaze.scr
    * southPark.scr
    * SouthParkOuttaSpace.scr
    * starWarz.scr
    * waaazUp.scr
    * x-filez.scr

Деструктивная активность

Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.

Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Другие названия

Email-Worm.Win32.FunnyPics («Лаборатория Касперского») также известен как: I-Worm.FunnyPics («Лаборатория Касперского»), W95/Outspace.worm (McAfee), W95.Outspace.Worm@mm (Symantec), Win32.HLLW.Brsh.14316 (Doctor Web), Troj/Brsh (Sophos), Win32/Brsh.A@mm (RAV), WORM_FUNNYPICS.A (Trend Micro), Worm/FunnyPics (H+BEDV), Win32:BRSH (ALWIL), I-Worm/FunnyPic (Grisoft), Win32.HLLW.Brsh.14316 (SOFTWIN), Worm.FunnyPics (ClamAV), W32/FunnyPics (Panda), Win32/FunnyPics.A (Eset)