Email-Worm.Win32. Warezov.bw

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер 150557 байт. Упакован при помощи UPack. Размер в распакованном виде — около 540 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем serv.exe:

  %Windir%\serv.exe
  

Также червь создает следующие файлы в системном и корневом каталогах Windows:

%System%\cssewmpd (16384 байта)
%System%\e1.dll (8192 байт)
%System%\regaufat.dll (24576 байт)
%System%\wupstlnt.dll (28672 байта)
%Windir%\serv.dll (7680 байт)
%Windir%\serv.s
%Windir%\serv.wax

Также червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "serv"="%Windir%\serv.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "AppInit_DLLs"="wupstlnt.dll e1.dll"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

      * Error
      * Good Day
      * hello
      * Mail Delivery System
      * Mail server report
      * Mail Transaction Failed
      * picture
      * Server Report
      * Status
  

Текст письма:

Выбирается из списка:

      * Mail transaction failed. Partial message is available.
      * The message cannot be represented in 7-bit ASCII encoding and has been sent 
       as a binary attachment.
      * The message contains Unicode characters and has been sent as a binary attachment.
      *
  
        Mail server report.
  
        Our firewall determined the e-mails containing worm copies are being sent 
      from your computer.
  
        Nowadays it happens from many computers, because this is a new virus type 
      (Network Worms).
  
        Using the new bug in the Windows, these viruses infect the computer unnoticeably.
        After the penetrating into the computer the virus harvests all the e-mail 
      addresses and sends the copies of itself to these e-mail addresses
  
        Please install updates for worm elimination and your computer restoring.
  
        Best regards,
        Customers support service
  

Деструктивная активность

Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

Также червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.