Security Lab

Email-Worm.Win32. Warezov.pb

Email-Worm.Win32. Warezov.pb

Вирус-червь, распространяющийся посредством электронной почты.

Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Имеет размер 101914 байт. Упакован с помощью Upack, распакованный размер — около 266 КБ.

Инсталляция

При запуске червь отображает на экране компьютера следующее окно:

 Unknown Error 

Затем копирует свой исполняемый файл в системный каталог Windows под именем «mscmippr.exe»:

%System%\mscmippr.exe

Создает следующий файл размером 114688 байт:

%System%\mscmippr.dll

Также вирус создает ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mscmippr]
"DllName" = "%System%\mscmippr.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма


Mail sever report.


Текст письма


Do not reply to this message

Dear Customer,

Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have
patches at the moment. We recommend you to install a firewall module and it will
stop e-mail sending. Otherwise your account
will be blocked until you do not eliminate malfunction.

Customer support center robot

Имя файла-вложения

В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:

Update-KB<случайное четырехзначное число>-x86.exe

Деструктивная активность

Действия основного модуля червя

Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Червь производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.

Действия рассылаемого по почте компонента

Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.

Рассылаемый червем компонент скачивает по заложенной в него ссылке самую последнюю модификацию Warezov.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться