Security Lab

Email-Worm.Win32.Monikey.a

Email-Worm.Win32.Monikey.a

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя.

Email-Worm.Win32.Monikey.a ( «Лаборатория Касперского») также известен как: PWS-Vipgsm.dll ( McAfee), PWSteal.Trojan ( Symantec), Trojan.Starter ( Doctor Web), HTML.Bagle.BM-eml ( ClamAV), Trj/Vipgsm.W ( Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.

Инсталляция

После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:

%System%\mstcpmon.exe

Также в системном каталоге Windows червь создает следующие файлы:

%System%\chkdskw.exe
  %System%\itstore.dll
  %System%\kernel32.dll
  %System%\mslogon.dll
  %System%\mswshell.dll

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При этом червем игнорируются адреса, содержащие следующие подстроки:

.subscribe 
  @avp. 
  @fsecure 
  @hotmail 
  @iana 
  @messagelab 
  @microsoft 
  @norman 
  @norton 
  @symantec 
  @virusli 
  abuse 
  admin 
  anyone@ 
  bugs@ 
  cafee 
  certific 
  certs@ 
  contact@ 
  contract@ 
  feste 
  free-av 
  f-secur 
  gold- 
  gold-certs@ 
  google 
  help@ 
  hostmaster@ 
  icrosoft 
  info@ 
  linux 
  listserv 
  local 
  netadmin@ 
  nobody@ 
  noone@ 
  noreply 
  ntivi 
  oocies 
  panda 
  postmaster@ 
  rating@ 
  root@ 
  samples 
  sopho 
  support 
  update 
  winrar 
  winzip

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Зараженные письма выглядят следующим образом:

Отправитель:

postcard service

Тема письма:

Открытка с POSTCARD.RU номер <произвольный номер>

Текст письма:

Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.

Распространение через P2P

Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:

ACDSee 9.exe
  Adobe Photoshop 9 full.exe
  Ahead Nero 7.exe
  Kaspersky Antivirus 5.0.exe
  KAV 5.0.exe
  Matrix 3 Revolution English Subtitles.exe
  Microsoft Office 2003 Crack, Working!.exe
  Microsoft Office XP working Crack, Keygen.exe
  Microsoft Windows XP, WinXP Crack, working Keygen.exe
  Opera 8 New!.exe
  Porno pics arhive, xxx.exe
  Porno Screensaver.scr
  Porno, sex, oral, anal cool, awesome!!.exe
  Serials.txt.exe
  WinAmp 5 Pro Keygen Crack Update.exe
  WinAmp 6 New!.exe
  Windown Longhorn Beta Leak.exe
  Windows Sourcecode update.doc.exe
  XXX hardcore images.exe 

Действие

Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.

Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь