Email-Worm.Win32.VB.bi

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

Инсталляция

После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

%System%\Sample.zip

При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "ScanRegistry"="scanregw.exe /scan"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "WebView"="0"
 "ShowSuperHidden"="0"

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

content
temporary

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:


    * *Hot Movie*
    * A Great Video
    * Arab sex DSC-00465.jpg
    * eBook.pdf
    * Fuckin Kama Sutra pics
    * Fw:
    * Fw: DSC-00465.jpg
    * Fw: Funny :)
    * Fw: Picturs
    * Fw: Real show
    * Fw: SeX.mpg
    * Fw: Sexy
    * Fwd: Crazy illegal Sex!
    * Fwd: image.jpg
    * Fwd: Photo
    * give me a kiss
    * Miss Lebanon 2006
    * My photos
    * Part 1 of 6 Video clipe
    * Photos
    * Re:
    * Re: Sex Video
    * School girl fantasies gone bad
    * The Best Videoclip Ever
    * You Must View This Videoclipe!

Текст письма:


    * ----- forwarded message -----
    * >> forwarded message
    * forwarded message attached.
    * Fuckin Kama Sutra pics
    * hello, i send the file. Bye
    * Hot XXX Yahoo Groups
    * how are you? i send the details.
    * i attached the details. Thank you.
    * i just any one see my photos. It's Free :)
    * Note: forwarded message attached. You Must View This Videoclip!
    * Please see the file.
    * Re: Sex Video
    * ready to be FUCKED ;)
    * The Best Videoclip Ever
    * VIDEOS! FREE! (US$ 0,00)
    * What?

Имя файла-вложения:

    * 007.pif
    * 04.pif
    * 3.92315089702606E02.UUE
    * 677.pif
    * Attachments[001].B64
    * document.pif
    * DSC-00465.Pif
    * DSC-00465.pIf
    * eBook.PIF
    * eBook.Uu
    * image04.pif
    * New_Document_file.pif
    * Original Message.B64
    * photo.pif
    * School.pif
    * SeX.mim
    * WinZip.BHX
    * Word_Document.hqx
    * Word_Document.uu

Распространение через открытые сетевые ресурсы

Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

ADMIN$
C$

Прочее

Email-Worm.Win32.VB.bi закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.

Также червь может загружать из интернета свои обновления без ведома пользователя.

Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.