Email-Worm.Win32.VB.bi

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

  %System%\New WinZip File.exe
  %System%\scanregw.exe
  %System%\Update.exe
  %System%\Winzip.exe
  %System%\WINZIP_TMP.EXE
  %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
  %Windir%\rundll16.exe
  

После чего червь регистрирует себя в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "ScanRegistry"="scanregw.exe /scan"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "WebView"="0"
   "ShowSuperHidden"="0"
  

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

  dbx
  eml
  htm
  imh
  mbx
  msf
  msg
  nws
  oft
  txt
  vc
  

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

  content
  temporary
  

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

  
      * *Hot Movie*
      * A Great Video
      * Arab sex DSC-00465.jpg
      * eBook.pdf
      * Fuckin Kama Sutra pics
      * Fw:
      * Fw: DSC-00465.jpg
      * Fw: Funny :)
      * Fw: Picturs
      * Fw: Real show
      * Fw: SeX.mpg
      * Fw: Sexy
      * Fwd: Crazy illegal Sex!
      * Fwd: image.jpg
      * Fwd: Photo
      * give me a kiss
      * Miss Lebanon 2006
      * My photos
      * Part 1 of 6 Video clipe
      * Photos
      * Re:
      * Re: Sex Video
      * School girl fantasies gone bad
      * The Best Videoclip Ever
      * You Must View This Videoclipe!
  

Текст письма:

  
      * ----- forwarded message -----
      * >> forwarded message
      * forwarded message attached.
      * Fuckin Kama Sutra pics
      * hello, i send the file. Bye
      * Hot XXX Yahoo Groups
      * how are you? i send the details.
      * i attached the details. Thank you.
      * i just any one see my photos. It's Free :)
      * Note: forwarded message attached. You Must View This Videoclip!
      * Please see the file.
      * Re: Sex Video
      * ready to be FUCKED ;)
      * The Best Videoclip Ever
      * VIDEOS! FREE! (US$ 0,00)
      * What?
  

Имя файла-вложения:

      * 007.pif
      * 04.pif
      * 3.92315089702606E02.UUE
      * 677.pif
      * Attachments[001].B64
      * document.pif
      * DSC-00465.Pif
      * DSC-00465.pIf
      * eBook.PIF
      * eBook.Uu
      * image04.pif
      * New_Document_file.pif
      * Original Message.B64
      * photo.pif
      * School.pif
      * SeX.mim
      * WinZip.BHX
      * Word_Document.hqx
      * Word_Document.uu
  

Распространение через открытые сетевые ресурсы

Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

  ADMIN$
  C$
  

Прочее

Email-Worm.Win32.VB.bi закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.