Email-Worm.Win32.Gurong.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 28160 байт, упакован UPX. Размер распакованного файла — около 57 KБ.

При инсталляции червь копирует себя с именем wmedia16.exe в системный каталог Windows:

%System%\wmedia16.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "WMedia16"="wmedia16.exe"

После чего оригинальный запускаемый файл удаляется.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
asp
dbx
htm
php
pl
sht
tbb
txt
wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.aero
.gov
.mil
accoun
AccountRobot
acketst
admin
alert
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fethard
fido
foo.
fraud
fsf.
gnu
gold-certs
google
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
spm
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
webmoney
you
your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

  • adam
  • alex
  • alexey
  • alice
  • andrew
  • anna
  • bob
  • boris
  • brenda
  • brent
  • brian
  • claudia
  • craig
  • cyber
  • dan
  • dave
  • david
  • debby
  • den
  • dmitry
  • frank
  • george
  • gerhard
  • helen
  • ilya
  • james
  • jane
  • jayson
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • lee
  • leo
  • linda
  • linda
  • maria
  • marina
  • mary
  • matt
  • michael
  • mike
  • nikolay
  • olga
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • steve
  • tom
  • vlad
  • vladimir

Тема письма:

Выбирается из списка:

  • Greetings!
  • Hello friend ;)
  • Hey dear!
  • Hey! How are you doing bud?
  • Re: Hello
  • Re: I got it! Try it now!
  • Re[2]: wazzup bro
  • Wazzap bro!!

Текст письма:

Выбирается из списка:

  • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
  • Greetings. Here is some my nude photos in the attachment.
  • Hello bro! Here is my new girlfriend's photo! Check it out!
  • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
  • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
  • Hello! I sent you new skype plug-in, as you wished.
  • Hello! There is NEW plug-in for MSN. Try it out!
  • Hey bro! Check out attachment! There is a new plug-in for skype!
  • Hey dear! Here is my photos, as I promised.
  • Hey friend! Try this new smiles pack for MSN messenger!
  • Hey man! Take a look at attachment!
  • Whatz up man! There is my nude 17-yr sister in the attachment!

Имя файла-вложения:

Выбирается из списка:

  • body
  • conf_data
  • doc
  • document
  • i_love_u
  • i_luv_u
  • port_imgs
  • sex_girls
  • sex_pics

Вложения могут иметь одно из расширений:

  • bat
  • cmd
  • exe
  • pif
  • scr
  • txt
  • zip

Размножение через P2P

Червь проверяет наличие установленного на машине P2P-клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

0day_patch
dcom_patches
icq5
lsas_patches
msblast_patches
office_crack
skype_video
strip-girl4.0c
trillian_crack_all
winamp5
xp_activation

с расширением из списка:

  • bat
  • exe
  • pif
  • scr