Email-Worm.Win32. Warezov.mo

Вирус-червь. Первоначально распространился при помощи спам-рассылки.

Вирус-червь. Первоначально распространился при помощи спам-рассылки. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 102 до 165 КБ.

Инсталляция

При запуске червь извлекает из своего тела следующие файлы в системный каталог Windows:

 %System%\diagisr.dll
 %System%\isrprf32.dll
 %System%\isrprov.exe
 %System%\117X4sHrH5C.dll
 

С целью автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"himem.exe" = "<путь до исполняемого файла червя> -s"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "%System%\diagisr.dll"

Деструктивная активность

Червь подгружает свой компонент «%System%\diagisr.dll» в следующие процессы:

 iexplore.exe
 services.exe
 firefox.exe
 opera.exe
 zlclient.exe
 zapro.exe
 smc.exe
 ccapp.exe
 outpost.exe
 mpftray.exe
 

Данный компонент применяет к каждому из процессов специальные процедуры обхода систем безопансности. Для каждого процесса процедура индивидуальна, однако все они основаны на имитировании нажатий пользователем на кнопки подтверждения разрешения доступа в сеть или другой подозрительной активности.

Также червь пытается отключить службы программ обеспечения безопасности:

 Zone Labs Zone Alarm
 Sygate Personal Firewall
 Symantec Internet Security
 Agnitum Outpost Firewall
 Kaspersky Anti-Virus Personal

Основной компонент червя похищает информацию о контактах из адресной книги Microsoft Outlook, а также из контакт листа программы Yahoo Messenger.

Похищенную информацию червь загружает на один из доступных сайтов злоумышленника:

 ****kerunskdarun.com
 ****dinkionkderunjsa.com
 ****linkdeshkina.com
 ****ionkertunhasderun.com
 ****ionkdesunjafunhde.com
 ****tunjinkderunhasdefun.com
 ****dunkinmdespish.com
 ****dinjertiona.com
 ****erunkiondemfunhas.com
 ****uiceshkin.com
 ****etionkasde.com
 ****onlderunjadesunjerpas.com
 ****sariomdesin.com
 ****onjderinjdaserinjde.com
 ****onmdefunshjin.com
 ****ionkdesunjadewionsa.com
 ****defunjdesa.com
 ****defunhsadefuinn.com
 ****dasetiondegnas.com
 ****onkdesunjadefinpiomi.com
 ****onkdaerinjdefunhsa.com
 ****onkadesunjionkasde.com
 ****ndefunhasetrionde.com
 ****jinpiontunyunde.com
 ****runjionkdefunhasde.com
 ****suntiondeunwaserun.com
 ****sunjiokderunjdaserin.com
 ****sinlinmaspion.com
 ****funtionkderunhsa.com
 ****derionjdepisadrin.com
 ****dnegunhfaxesun.com
 ****djeinkdadeisna.com
 ****nsadehungans.com
 ****esinjertiopasde.com
 ****duewnahsuewaa.com
 ****nmdefuhawuinde.com
 ****kirationdefun.com
 ****unkionmasderunhas.com
 ****ionkdrunjdapolinkdun.com
 ****npasdinkerinjjas.com
 ****esunjionderunshishu.com
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.