Security Lab

Worm.Win32. Smelles

Worm.Win32. Smelles

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл).

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

C:\win32napp.exe
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"win32napp" = "c:\win32napp.exe -e"

name="doc3">

Деструктивная активность

В процессе своей работы червь в цикле выполняет поиск на локальных дисках компьютера файлов с расширением ".exe". За одну итерацию полного сканирования файловой системы компьютера случайным образом отбираются 10 файлов. Отобранные файлы модифицируются следующим образом. В начало файла записывается тело червя, затем следует строка-разделитель "---DEVILSTILLSMELLSME---", затем – оригинальное содержимое модифицируемого файла.

В ходе запуска зараженного файла сначала выполняется код червя, затем оригинальное содержимое файла сохраняется в рабочем каталоге червя под именем:

%WorkDir%\tmp.exe
и запускается на выполнение.

В процессе своей работы червь может выдавать сообщение:

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться