Вирус-червь, распространяющийся посредством электронной почты.
Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Размер его компонентов варьируется в пределах от 14 до 135 КБ. Упакован с помощью Upack.
Инсталляция
При запуске червь отображает на экране компьютера следующее окно:
Unknown error
Затем копирует свой исполняемый файл в системный каталог Windows под именем «hpzcitss.exe»:
%System%\hpzcitss.exe
Создает следующий файл размером 114688 байт:
%System%\hpzcitss.dll
Также червь создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\hpzcitss] "DllName" = "%System%\hpzcitss.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение через электронную почту
С целью поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Тема письма
Mail sever report.
Текст письма
Выбирается произвольным образом из списка:
Do not reply to this message
Dear Customer,
Our robot has fixed an abnormal activity from your IP address on sending e-mails. Probably it is connected with the last epidemic of a worm which does not have patches at the moment. We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction.
Customer support center robot
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Имя файла-вложения
В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Вирус производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.
Рассылаемый червем компонент скачивает файл по следующей ссылке:
http://jadesunhaxazedesa.com/****.exe
На момент создания описания по данной ссылке располагалась последняя версия исполняемого файла червя, детектируемого Антивирусом Касперского как Email-Worm.Win32.Warezov.pa.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.