Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя.
Email-Worm.Win32.Monikey.a ( «Лаборатория Касперского») также известен как: PWS-Vipgsm.dll ( McAfee), PWSteal.Trojan ( Symantec), Trojan.Starter ( Doctor Web), HTML.Bagle.BM-eml ( ClamAV), Trj/Vipgsm.W ( Panda)
Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.
Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.
После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:
%System%\mstcpmon.exe
Также в системном каталоге Windows червь создает следующие файлы:
%System%\chkdskw.exe %System%\itstore.dll %System%\kernel32.dll %System%\mslogon.dll %System%\mswshell.dll
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При этом червем игнорируются адреса, содержащие следующие подстроки:
.subscribe @avp. @fsecure @hotmail @iana @messagelab @microsoft @norman @norton @symantec @virusli abuse admin anyone@ bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ linux listserv local netadmin@ nobody@ noone@ noreply ntivi oocies panda postmaster@ rating@ root@ samples sopho support update winrar winzip
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Зараженные письма выглядят следующим образом:
postcard service
Открытка с POSTCARD.RU номер <произвольный номер>
Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0.exe KAV 5.0.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe
Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.
Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.
Никаких овечек — только отборные научные факты