Email-Worm.Win32. Warezov.oz

Вирус-червь, распространяющийся посредством электронной почты.

Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Размер его компонентов варьируется в пределах от 14 до 135 КБ. Упакован с помощью Upack.

Инсталляция

При запуске червь отображает на экране компьютера следующее окно:

Unknown error

Затем копирует свой исполняемый файл в системный каталог Windows под именем «hpzcitss.exe»:

%System%\hpzcitss.exe

Создает следующий файл размером 114688 байт:

%System%\hpzcitss.dll

Также червь создает ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\hpzcitss]
"DllName" = "%System%\hpzcitss.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма

Mail sever report.

Текст письма

Выбирается произвольным образом из списка:

Do not reply to this message

Dear Customer,

Our robot has fixed an abnormal activity from your IP address on sending e-mails. Probably it is connected with the last epidemic of a worm which does not have patches at the moment. We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction.

Customer support center robot

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.

After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,

Customers support service

Имя файла-вложения

В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:

Update-KB<случайное четырехзначное число>-x86.exe

Деструктивная активность

Действия основного модуля червя

Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Вирус производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.

Действия рассылаемого по почте компонента

Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.

Рассылаемый червем компонент скачивает файл по следующей ссылке:

http://jadesunhaxazedesa.com/****.exe

На момент создания описания по данной ссылке располагалась последняя версия исполняемого файла червя, детектируемого Антивирусом Касперского как Email-Worm.Win32.Warezov.pa.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.