Email-Worm.Win32.Gurong.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.

Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 28160 байт, упакован UPX. Размер распакованного файла — около 57 KБ.

При инсталляции червь копирует себя с именем wmedia16.exe в системный каталог Windows:

%System%\wmedia16.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "WMedia16"="wmedia16.exe"

После чего оригинальный запускаемый файл удаляется.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:

adb
 asp
 dbx
 htm
 php
 pl
 sht
 tbb
 txt
 wab

При этом червем игнорируются адреса, содержащие следующие подстроки:

.aero
 .gov
 .mil
 accoun
 AccountRobot
 acketst
 admin
 alert
 anyone
 arin.
 avp
 berkeley
 borlan
 bsd
 bsd
 bugs
 ca
 certific
 contact
 example
 feste
 fethard
 fido
 foo.
 fraud
 fsf.
 gnu
 gold-certs
 google
 google
 gov.
 help
 hotmail
 iana
 ibm.com
 icrosof
 icrosoft
 ietf
 info
 inpris
 isc.o
 isi.e
 kernel
 linux
 linux
 listserv
 math
 me
 mit.e
 mozilla
 msn.
 mydomai
 no
 nobody
 nodomai
 noone
 not
 nothing
 ntivi
 page
 panda
 pgp
 postmaster
 privacy
 rating
 rfc-ed
 ripe.
 root
 ruslis
 samples
 secur
 sendmail
 service
 site
 soft
 somebody
 someone
 sopho
 spm
 submit
 support
 syma
 tanford.e
 the.bat
 unix
 unix
 usenet
 utgers.ed
 webmaster
 webmoney
 you
 your

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Отправитель:

Имя отправителя включает в себя один из следующих вариантов:

  • adam
  • alex
  • alexey
  • alice
  • andrew
  • anna
  • bob
  • boris
  • brenda
  • brent
  • brian
  • claudia
  • craig
  • cyber
  • dan
  • dave
  • david
  • debby
  • den
  • dmitry
  • frank
  • george
  • gerhard
  • helen
  • ilya
  • james
  • jane
  • jayson
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • lee
  • leo
  • linda
  • linda
  • maria
  • marina
  • mary
  • matt
  • michael
  • mike
  • nikolay
  • olga
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • steve
  • tom
  • vlad
  • vladimir

Тема письма:

Выбирается из списка:

  • Greetings!
  • Hello friend ;)
  • Hey dear!
  • Hey! How are you doing bud?
  • Re: Hello
  • Re: I got it! Try it now!
  • Re[2]: wazzup bro
  • Wazzap bro!!

Текст письма:

Выбирается из списка:

  • Greetings! Check out my portfolio, please! Here is some my photos in the archive.
  • Greetings. Here is some my nude photos in the attachment.
  • Hello bro! Here is my new girlfriend's photo! Check it out!
  • Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
  • Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
  • Hello! I sent you new skype plug-in, as you wished.
  • Hello! There is NEW plug-in for MSN. Try it out!
  • Hey bro! Check out attachment! There is a new plug-in for skype!
  • Hey dear! Here is my photos, as I promised.
  • Hey friend! Try this new smiles pack for MSN messenger!
  • Hey man! Take a look at attachment!
  • Whatz up man! There is my nude 17-yr sister in the attachment!

Имя файла-вложения:

Выбирается из списка:

  • body
  • conf_data
  • doc
  • document
  • i_love_u
  • i_luv_u
  • port_imgs
  • sex_girls
  • sex_pics

Вложения могут иметь одно из расширений:

  • bat
  • cmd
  • exe
  • pif
  • scr
  • txt
  • zip

Размножение через P2P

Червь проверяет наличие установленного на машине P2P-клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

0day_patch
 dcom_patches
 icq5
 lsas_patches
 msblast_patches
 office_crack
 skype_video
 strip-girl4.0c
 trillian_crack_all
 winamp5
 xp_activation

с расширением из списка:

  • bat
  • exe
  • pif
  • scr