Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Инсталляция
Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:
%WinDir%\brsh32.exe
Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "brsh32Service"="%WinDir%\brsh32.exe -q"
При каждой следующей загрузке Windows автоматически запустит новый сервис.
Червь совмещает в себе две процедуры:
1. распространение по электронной почте;
2. бэкдор-процедура удаленного управления компьютером.
На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Тема письма
При составлении письма тема выбирается случайным образом из следующего списка:
* are you ready to enjoy? * do you wanna laugh out? * Download funny pics for free! * download screensavers for free! * Free pics and screensavers * free screensaver * funny pics is online again! * funnypics special offer * huff OUT! * humor OnLine * hunk of fun! * Listen to Dr.Fun * pics & screensavers * ready? steady? laugh! * Save your screen! * what you wanna see?
Содержимое письма
Тело письма постоянно и представляет собой следующий текст:
Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com
Вложение
В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.
Имя файла случайным образом выбирается из следующего списка:
* billBates.scr * bzzz.scr * funnyPic.scr * intelAside.scr * kennyIsAlive.scr * mac0s.scr * matrix-SP.scr * mrBrown.scr * nastyPokemon.scr * paradise.scr * phantomMenaze.scr * southPark.scr * SouthParkOuttaSpace.scr * starWarz.scr * waaazUp.scr * x-filez.scr
Деструктивная активность
Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.
Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Другие названия
Email-Worm.Win32.FunnyPics («Лаборатория Касперского») также известен как: I-Worm.FunnyPics («Лаборатория Касперского»), W95/Outspace.worm (McAfee), W95.Outspace.Worm@mm (Symantec), Win32.HLLW.Brsh.14316 (Doctor Web), Troj/Brsh (Sophos), Win32/Brsh.A@mm (RAV), WORM_FUNNYPICS.A (Trend Micro), Worm/FunnyPics (H+BEDV), Win32:BRSH (ALWIL), I-Worm/FunnyPic (Grisoft), Win32.HLLW.Brsh.14316 (SOFTWIN), Worm.FunnyPics (ClamAV), W32/FunnyPics (Panda), Win32/FunnyPics.A (Eset)