Security Lab

Email-Worm.Win32. Warezov.iq

Email-Worm.Win32. Warezov.iq

Вирус-червь, распространяющийся при помощи электронной почты.

Вирус-червь, распространяющийся при помощи электронной почты. Во вложение письма червь помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ. Зараженные сообщения рассылаются по всем найденным на компьютере адресам электронной почты.

Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 63 до 120 КБ.

Инсталляция

При запуске червь отображает на экране компьютера следующее сообщение:

Unknown error

Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «pgpswuau.exe»:

  %System%\pgpswuau.exe
  

И создает следующий файл размером 98304 байта:

%System%\pgpswuau.dll

Также червь прописывает ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pgpswuau]
"DllName" = "%System%\pgpswuau.dll"
"Startup" = "WlxStartupEvent"cd
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение посредством электронной почты

С целью поиска адресов будущих жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

В качестве файла вложения червь рассылает свой компонент, который может загружать из сети Интернет другие вредоносные программы. Он имеет имя вида:

Update-KB<случайное четырехзначное число>-x86.exe

Деструктивная активность

Действия основного модуля червя

Данная вредоносная программа имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Действия рассылаемого по почте компонента

Этот компонент рассылается основным модулем червя и обладает функцией скачивания из Интернета других файлов без ведома пользователя. Загрузка производится со следующего URL:

http://xuyhadesunkadwi.com/***32.exe

На момент создания описания по данной ссылке располагалась последняя модификация исполняемого файла червя.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться