Email-Worm.Win32. FunnyPics

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Представляет собой Windows PE EXE-файл размером 14316 байт.

Инсталляция

Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:

%WinDir%\brsh32.exe

Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:

 
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   "brsh32Service"="%WinDir%\brsh32.exe -q"
  

При каждой следующей загрузке Windows автоматически запустит новый сервис.

Червь совмещает в себе две процедуры:

1. распространение по электронной почте;

2. бэкдор-процедура удаленного управления компьютером.

На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Тема письма

При составлении письма тема выбирается случайным образом из следующего списка:

    * are you ready to enjoy?
      * do you wanna laugh out?
      * Download funny pics for free!
      * download screensavers for free!
      * Free pics and screensavers
      * free screensaver
      * funny pics is online again!
      * funnypics special offer
      * huff OUT!
      * humor OnLine
      * hunk of fun!
      * Listen to Dr.Fun
      * pics & screensavers
      * ready? steady? laugh!
      * Save your screen!
      * what you wanna see?
  

Содержимое письма

Тело письма постоянно и представляет собой следующий текст:

Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com

Вложение

В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.

Имя файла случайным образом выбирается из следующего списка:

      * billBates.scr
      * bzzz.scr
      * funnyPic.scr
      * intelAside.scr
      * kennyIsAlive.scr
      * mac0s.scr
      * matrix-SP.scr
      * mrBrown.scr
      * nastyPokemon.scr
      * paradise.scr
      * phantomMenaze.scr
      * southPark.scr
      * SouthParkOuttaSpace.scr
      * starWarz.scr
      * waaazUp.scr
      * x-filez.scr
  

Деструктивная активность

Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.

Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Другие названия

Email-Worm.Win32.FunnyPics («Лаборатория Касперского») также известен как: I-Worm.FunnyPics («Лаборатория Касперского»), W95/Outspace.worm (McAfee), W95.Outspace.Worm@mm (Symantec), Win32.HLLW.Brsh.14316 (Doctor Web), Troj/Brsh (Sophos), Win32/Brsh.A@mm (RAV), WORM_FUNNYPICS.A (Trend Micro), Worm/FunnyPics (H+BEDV), Win32:BRSH (ALWIL), I-Worm/FunnyPic (Grisoft), Win32.HLLW.Brsh.14316 (SOFTWIN), Worm.FunnyPics (ClamAV), W32/FunnyPics (Panda), Win32/FunnyPics.A (Eset)