Email-Worm.Win32. Warezov.lb

Вирус-червь. Является приложением Windows (PE EXE-файл).

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 103459 байт. Упакован с помощью Upack, распакованный размер — около 270 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

%System%\msgimp43.dat
%System%\msgimp43.exe
%System%\msgimp43.dll

А также генерирует ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msgimp43]
"DllName" = "%System%\msgimp43.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение

Данный вирус распространяется при помощи рассылки ICQ-сообщений. Сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации червей семейства Warezov. В качестве адресов для загрузки используются следующие:

http://******elasutedios.com/storage/2520/
http://******aterdasetion.com/2/708/
http://******lihuitunhades.com/storage/9677/

При открытии одной из приведенных ссылок пользователю предлагается скачать и запустить файл с именем «archive.exe». Результатом выполнения файла является инсталляция новейшей версии червя в систему.

Деструктивная активность

Червь отключает различное антивирусное программное обеспечение (в том числе межсетевые экраны), установленное на зараженном компьютере.

Также вирус имеет функцию загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов на исполнение.