Email-Worm.Win32.Gurong.a
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена P2P.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл), имеет размер около 28160 байт, упакован UPX. Размер распакованного файла — около 57 KБ.
При инсталляции червь копирует себя с именем wmedia16.exe в системный каталог Windows:
Затем регистрирует этот файл в ключе автозапуска системного реестра:
"WMedia16"="wmedia16.exe"
После чего оригинальный запускаемый файл удаляется.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах, имеющих следующие расширения:
adb asp dbx htm php pl sht tbb txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
.aero .gov .mil accoun AccountRobot acketst admin alert anyone arin. avp berkeley borlan bsd bsd bugs ca certific contact example feste fethard fido foo. fraud fsf. gnu gold-certs google google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho spm submit support syma tanford.e the.bat unix unix usenet utgers.ed webmaster webmoney you your
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Отправитель:
Имя отправителя включает в себя один из следующих вариантов:
- adam
- alex
- alexey
- alice
- andrew
- anna
- bob
- boris
- brenda
- brent
- brian
- claudia
- craig
- cyber
- dan
- dave
- david
- debby
- den
- dmitry
- frank
- george
- gerhard
- helen
- ilya
- james
- jane
- jayson
- jerry
- jim
- jimmy
- joe
- john
- jose
- julie
- kevin
- lee
- leo
- linda
- linda
- maria
- marina
- mary
- matt
- michael
- mike
- nikolay
- olga
- peter
- ray
- robert
- sam
- sandra
- serg
- smith
- steve
- tom
- vlad
- vladimir
Тема письма:
Выбирается из списка:
- Greetings!
- Hello friend ;)
- Hey dear!
- Hey! How are you doing bud?
- Re: Hello
- Re: I got it! Try it now!
- Re[2]: wazzup bro
- Wazzap bro!!
Текст письма:
Выбирается из списка:
- Greetings! Check out my portfolio, please! Here is some my photos in the archive.
- Greetings. Here is some my nude photos in the attachment.
- Hello bro! Here is my new girlfriend's photo! Check it out!
- Hello buddy! Take a look at attachment! Here is my nude 17-yr sister!
- Hello! Here is NEW smiles pack for MSN messenger! It is really cool ;)
- Hello! I sent you new skype plug-in, as you wished.
- Hello! There is NEW plug-in for MSN. Try it out!
- Hey bro! Check out attachment! There is a new plug-in for skype!
- Hey dear! Here is my photos, as I promised.
- Hey friend! Try this new smiles pack for MSN messenger!
- Hey man! Take a look at attachment!
- Whatz up man! There is my nude 17-yr sister in the attachment!
Имя файла-вложения:
Выбирается из списка:
- body
- conf_data
- doc
- document
- i_love_u
- i_luv_u
- port_imgs
- sex_girls
- sex_pics
Вложения могут иметь одно из расширений:
- bat
- cmd
- exe
- pif
- scr
- txt
- zip
Размножение через P2P
Червь проверяет наличие установленного на машине P2P-клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
0day_patch dcom_patches icq5 lsas_patches msblast_patches office_crack skype_video strip-girl4.0c trillian_crack_all winamp5 xp_activation
с расширением из списка:
- bat
- exe
- pif
- scr
Домашний Wi-Fi – ваша крепость или картонный домик?