Email-Worm. Win32.Zhelatin.o

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 50583 байта. Упакован при помощи UPX.

Инсталляция

При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем alsys.exe:

%System%\alsys.exe

Червь создает в своем рабочем каталоге файл с произвольным именем и расширением EXE и запускает его.

После чего червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"

То есть при каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает следующие файлы в системном каталоге Windows:

 
%System%\wincom32.ini
%System%\wincom32.sys

Также червь изменяет следующую запись системного реестра с целью блокировки Windows Firewall/Internet Connection Sharing (ICS):

[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"

Распространение через email

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Письма не отсылаются на адреса, содержащие в своем адресе следующие строки:

microsoft
.gov
.mil

Характеристики зараженных писем

Имя отправителя

Выбирается из списка:

 

* Anita
* April
* Ara
* Aretina
* Amorita
* Alysia
* Aldora
* Barbra
* Becky
* Bella
* Briana
* Bridget
* Blenda
* Bettina
* Caitlin
* Chelsea
* Clarissa
* Carmen
* Carla
* Cara
* Camille
* Damita
* Daria
* Danielle
* Diana
* Doris
* Dora
* Donna
* Ebony
* Eden
* Eliza
* Erika
* Eve
* Evelyn
* Emily
* Faith
* Gale
* Gilda
* Gloria
* Haley
* Holly
* Helga
* Ivory
* Ivana
* Iris
* Isabel
* Idona
* Ida
* Julie
* Juliet
* Joanna
* Jewel
* Janet
* Katrina
* Kacey
* Kali
* Kyle
* Kassia
* Kara
* Lara
* Laura
* Lynn
* Lolita
* Lisa
* Linda
* Myra
* Mimi
* Melody
* Mary
* Maia
* Nadia
* Nova
* Nina
* Nora
* Natalie
* Naomi
* Nicole
* Olga
* Olivia
* Pamela
* Peggy
* Queen
* Rachel
* Rae
* Rita
* Ruby
* Rosa
* Silver
* Sharon
* Uma
* Ula
* Valda
* Vanessa
* Valora
* Violet
* Vivian
* Vicky
* Wendy
* Willa
* Xandra
* Xylia
* Xenia
* Zilya
* Zoe
* Zenia

Тема письма

Выбирается из списка:

    * 5 Reasons I Love You
    * A Bouquet of Love
    * A Day in Bed Coupon
    * A Hug & Roses
    * A Kiss for You
    * A Kiss So Gentle
    * A Little (sex) Card
    * A Monkey Rose for You
    * A Red Hot Kiss
    * A Relaxing Coupon
    * A Romantic Place
    * A Song to You
    * A Special Flower for You
    * A Special Kiss
    * A Sweet Love
    * A Token of My Love
    * A Weekend Getaway
    * Against All Odds
    * All For You
    * All That Matters
    * Angel of Love
    * Awaiting Your Love
    * Baby, I'll Be There
    * Back Together
    * Between Us
    * Bewitching Moonlight
    * Brand New Love
    * Breakfast in Bed Coupon
    * Bubble Bath Coupon
    * Can't Wait to See You!
    * Crazy way to say I Luv U
    * Cuddle Me Please
    * Cuddle Up
    * Cyber Love
    * Dancing With You
    * Dinner Coupon
    * Doing It for You
    * Dream Date Coupon
    * Dream Girl
    * Emptiness Inside Me
    * Eternity of Your Love
    * Evening Romance
    * Every Inch of Your Body
    * Everyone Needs Someone
    * Falling In Love with You
    * Feeling Horny?
    * Fields Of Love
    * For Better of For Worse
    * For You
    * For You....My Love
    * Forever and Ever
    * Forever in Love
    * From this day forward
    * Full Heart
    * Hand in Hand
    * Hand in Hand
    * He Blessed Our Lives
    * Heart is Breaking
    * Heart of Mine
    * Hey Cutie
    * Hold Me (distant love)
    * Hold On
    * How Much I Love You
    * Hugging My Pillow
    * I Always Knew
    * I am Complete
    * I Am Lost In You
    * I Believe
    * I Can't Function
    * I Dream of you
    * I Give to You
    * I Love Thee
    * I Love Thee
    * I Love You Mower
    * I Love You So
    * I Love You Soo Much
    * I Love You with All I Am
    * I Still Love You
    * I Think of You
    * I Win with You
    * I wish
    * I Woof You
    * I Would Do Anything
    * I Would Give you Anything
    * If I Could
    * If I Knew
    * I'll Be Your Man
    * In Love
    * In My Heart
    * Inside My Heart
    * Internet Love
    * It's Your Move
    * Just You
    * Just You & Me
    * Kiss Coupon
    * Kisses, Hugs & Roses
    * Last Night was Hot!
    * Let's Get Frisky
    * Live With Me
    * Longing for You
    * Love at First Sight
    * Love Birds
    * Love for Granted
    * Love is in the Air
    * Love Remains
    * Love You Deeply
    * Made for Each Other Brand New Love
    * Magic of Flowers
    * Massage Coupon
    * Memories
    * Miracle of Love
    * Miracle of Love
    * Moonlit Waterfall
    * Most Beautiful Girl
    * My Eye on You
    * My Heart belongs to you
    * My Heart is Thinking
    * My Invitation
    * My Love
    * My Perfect Love
    * Now and Forever
    * Now I Know
    * Old Together
    * Only You
    * Our Love
    * Our Love Everyday
    * Our Love is Free
    * Our Love is Strong
    * Our love is torn by miles
    * Our Love Nest
    * Our Love Will Last
    * Our Two Hearts
    * Our Wedding Day
    * P.M.S
    * Passionate Kiss
    * Peek-A-Boo
    * Pockets of Love
    * Puppy Love
    * Red Rose
    * Romantic Picnic Coupon
    * Rose for my Love
    * Safe and Sound
    * Safe With You
    * Search for One
    * Sending Kiss
    * Sending You My Love
    * Sending You My Love
    * Showers Of Love
    * So in Love
    * So in Love
    * So Unique
    * Solitary Beauty
    * Someone at Last
    * Soul Mates
    * Soul Partners
    * Steamy Dream
    * Steamy Sex Coupon
    * Summer Love
    * Take My Hand
    * Teddy Bear & Roses
    * Tender Whispers
    * Thanks...Love
    * That Special Love
    * The Candle's Light
    * The Dance of Love
    * The Kiss
    * The Letter
    * The Long Haul
    * The Love Bugs
    * The Miracle of Love
    * The Mood for Love
    * The Mood for Love
    * The Sweet Taste of Love
    * The Time for Love
    * Thinking about you
    * Thinking of You
    * This Day Forward
    * This Feeling
    * Til the End of Time
    * Till Morning's Light
    * Till Morninig's Light
    * Times Are Hard, I Luv U
    * To New Spouse
    * Together Again
    * Together You and I
    * Touched by Love
    * True Love
    * Trunk Full Of Love
    * Twice Blest
    * Twilight Paradise
    * Two of a Kind
    * Unique Love
    * Unmatchable Beauty
    * Until the Day
    * Vacation Love
    * Waiting for You
    * Want to Meet?
    * Want You to Know
    * We Are Different
    * We Have Walked
    * We're a Perfect Fit
    * When I look at you
    * When I'm With You
    * When I'm With You
    * When You Fall in Love
    * Why I Love You
    * Wild Nights--Wild Nights
    * Will You?
    * Window of Beauty
    * Wine and Roses
    * Wish I Could Tell You
    * Wish Upon a Star
    * With All My Love
    * With All of My Heart
    * With This Ring
    * Without Your Love
    * Won't you dance with me
    * Words I Write
    * Worthy of You
    * Wrapped in Your Arms
    * Wrapped Up
    * You + Me
    * You and I
    * You and I Forever
    * You Are My Guiding Star
    * You are out of this world
    * You Asked Me Why
    * You Brighten My Day
    * You Lucky Duck!
    * You Rock Me!
    * You Were Worth the Wait
    * Your Love Has Opened
    * Your Silly Smile
    * You're My Hero
    * You're so Far Away
    * You're Soo kissable
    * You're the One 

Имя файла вложения

Выбирается из списка:

    * flash postcard.exe
    * Flash Postcard.exe
    * Greeting Card.exe
    * greeting card.exe
    * Greeting Postcard.exe
    * greeting postcard.exe
    * Postcard.exe
    * postcard.exe 

Деструктивная активность

Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea

Червь использует руткит-библиотеку %System%\wincom32.sys для сокрытия своих файлов на жестком диске и записей в системном реестре.