Email-Worm.Win32.Silly.e

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Размер зараженного файла 154624 байт.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows в папку Fonts со случайным именем:

%Windir%\Fonts\<случайное имя>.com

Затем червь регистрирует себя в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "TempCom"="%Windir%\Fonts\<случайное имя>.com"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
 "fullpath"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "HideFileExt" = "1"
 "Hidden" = "0"

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. Рассылается по всем найденным в них адресам электронной почты.

Характеристики зараженных писем

Тема письма

Document

Имя файла-вложения

Document.exe