Email-Worm.Win32.VB.bi

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

 %System%\New WinZip File.exe
 %System%\scanregw.exe
 %System%\Update.exe
 %System%\Winzip.exe
 %System%\WINZIP_TMP.EXE
 %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
 %Windir%\rundll16.exe
 

После чего червь регистрирует себя в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "ScanRegistry"="scanregw.exe /scan"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "WebView"="0"
  "ShowSuperHidden"="0"
 

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

 dbx
 eml
 htm
 imh
 mbx
 msf
 msg
 nws
 oft
 txt
 vc
 

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

 content
 temporary
 

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

 
     * *Hot Movie*
     * A Great Video
     * Arab sex DSC-00465.jpg
     * eBook.pdf
     * Fuckin Kama Sutra pics
     * Fw:
     * Fw: DSC-00465.jpg
     * Fw: Funny :)
     * Fw: Picturs
     * Fw: Real show
     * Fw: SeX.mpg
     * Fw: Sexy
     * Fwd: Crazy illegal Sex!
     * Fwd: image.jpg
     * Fwd: Photo
     * give me a kiss
     * Miss Lebanon 2006
     * My photos
     * Part 1 of 6 Video clipe
     * Photos
     * Re:
     * Re: Sex Video
     * School girl fantasies gone bad
     * The Best Videoclip Ever
     * You Must View This Videoclipe!
 

Текст письма:

 
     * ----- forwarded message -----
     * >> forwarded message
     * forwarded message attached.
     * Fuckin Kama Sutra pics
     * hello, i send the file. Bye
     * Hot XXX Yahoo Groups
     * how are you? i send the details.
     * i attached the details. Thank you.
     * i just any one see my photos. It's Free :)
     * Note: forwarded message attached. You Must View This Videoclip!
     * Please see the file.
     * Re: Sex Video
     * ready to be FUCKED ;)
     * The Best Videoclip Ever
     * VIDEOS! FREE! (US$ 0,00)
     * What?
 

Имя файла-вложения:

     * 007.pif
     * 04.pif
     * 3.92315089702606E02.UUE
     * 677.pif
     * Attachments[001].B64
     * document.pif
     * DSC-00465.Pif
     * DSC-00465.pIf
     * eBook.PIF
     * eBook.Uu
     * image04.pif
     * New_Document_file.pif
     * Original Message.B64
     * photo.pif
     * School.pif
     * SeX.mim
     * WinZip.BHX
     * Word_Document.hqx
     * Word_Document.uu
 

Распространение через открытые сетевые ресурсы

Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

 ADMIN$
 C$
 

Прочее

Email-Worm.Win32.VB.bi закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.