Email-Worm.Win32. Joleee.ep

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\services.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"

Распространение

В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующего адреса:

http://91.207.4.250/s_alive.php
и сохраняет их во временном каталоге ОС Windows:
%Temp%\<rnd>.tmp
Где <rnd> – случайная последовательность цифр.

После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылает по протоколу SMTP с использованием следующих почтовых серверов:

mx.hotmail.com
mx.yahoo.com
mx.aol.com
mx.google.com
mx.mail.com

Деструктивная активность

С помощью системной утилиты netsh отключает системный брандмауэр

netsh firewall set opmode disable
А также изменяет следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Security Center] 
"FirewallDisableNotify" = 1
"FirewallOverride" = 1



[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = 4



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 0



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 0