Вирус-червь, распространяющийся посредством электронной почты.
Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 123 392 байта. Упакован с помощью Upack.
Деструктивная активность
Инсталляция
При запуске червь отображает на экране компьютера следующее окно:
Unknown error
Затем копирует свой исполняемый файл в системный каталог Windows под именем «kbdhmobs.exe»:
%System%\kbdhmobs.exe
Создает следующий файл размером 110 592 байта:
%System%\kbdhmobs.dll
Также червь создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\kbdhmobs] "DllName" = "%System%\kbdhmobs" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение через электронную почту
С целью поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Тема письма:
Mail sever report.
Текст письма:
Do not reply to this message Dear Customer, Our robot has fixed an abnormal activity from your IP address on sending e-mails. Probably it is connected with the last epidemic of a worm which does not have patches at the moment. We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction. Customer support center robot
Имя файла-вложения:
В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Червь производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.
Рассылаемый червем компонент скачивает самую последнюю версию данного червя из сети интернет по заложенной в него ссылке.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.