Email-Worm.Win32. Warezov.gl

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер около 110 КБ. Упакован при помощи UPX. Размер в распакованном виде – около 235 КБ.

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем "cservv32.exe":

%WinDir%\cservv32.exe

Также червь создает следующие файлы в системном и корневом каталогах Windows:

%System%\e1.dll (20 480 байт)
%Windir%\cservv32.s
%Windir%\cservv32.wax
%Windir%\cservv32.dat

Также червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"cservv32" = "%Windir%\cservv32.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "e1.dll"

т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test

Текст письма:

Выбирается произвольным образом из списка:

Mail transaction failed. Partial message is available.
__________________________

The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.

__________________________

The message contains Unicode characters and has been sent as a binary attachment.

__________________________

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from
your computer.

Nowadays it happens from many computers, because this is a new virus type
(Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses
and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Имя файла вложения:

body
data
doc
docs
document
file
message
readme
test
text
Update-KB<случайные цифры>-x86

В качестве файла вложения червь рассылает свою компоненту, которая может загружать из интернета другие вредоносные программы. Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Warezov.gl

Деструктивная активность

Действия основного модуля червя

Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

Действия рассылаемого по почте компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

Размер данного файла - 23 556 байт.

После запуска на компьютере данный файл открывает окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»).

При инсталляции данный файл создает в системном каталоге Windows свою копию со случайным именем.

Рассылаемый червем компонент содержит в себе список URL адресов, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.