Email-Worm.Win32. Warezov.qa

Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 123 392 байта. Упакован с помощью Upack.

Деструктивная активность

Инсталляция

При запуске червь отображает на экране компьютера следующее окно:

 Unknown error

Затем копирует свой исполняемый файл в системный каталог Windows под именем «kbdhmobs.exe»:

%System%\kbdhmobs.exe

Создает следующий файл размером 110 592 байта:

  %System%\kbdhmobs.dll

Также червь создает ключ в системном реестре:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kbdhmobs]
  "DllName" = "%System%\kbdhmobs"
  "Startup" = "WlxStartupEvent"
  "Shutdown" = "WlxShutdownEvent"
  "Impersonate" = dword:00000000
  "Asynchronous" = dword:00000000

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма:

  Mail sever report.

Текст письма:

  Do not reply to this message
  
  Dear Customer,
  
  Our robot has fixed an abnormal activity from your IP address on sending e-mails.
  Probably it is connected with the last epidemic of a worm which does not have
  patches at the moment.
  We recommend you to install a firewall module and it will stop e-mail sending.
  Otherwise your account will be blocked until you do not eliminate malfunction.
  Customer support center robot
  

Имя файла-вложения:

В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:

 

Update-KB<случайное четырехзначное число>-x86.exe

Действия основного модуля червя

Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Червь производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.

Действия рассылаемого по почте компонента

Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.

Рассылаемый червем компонент скачивает самую последнюю версию данного червя из сети интернет по заложенной в него ссылке.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.