Email-Worm.Win32.Monikey.a («Лаборатория Касперского») также известен как: PWS-Vipgsm.dll (McAfee), PWSteal.Trojan (Symantec), Trojan.Starter (Doctor Web), HTML.Bagle.BM-eml (ClamAV), Trj/Vipgsm.W (Panda)
Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.
Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.
Инсталляция
После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:
%System%\mstcpmon.exe
Также в системном каталоге Windows червь создает следующие файлы:
%System%\chkdskw.exe %System%\itstore.dll %System%\kernel32.dll %System%\mslogon.dll %System%\mswshell.dll
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При этом червем игнорируются адреса, содержащие следующие подстроки:
.subscribe @avp. @fsecure @hotmail @iana @messagelab @microsoft @norman @norton @symantec @virusli abuse admin anyone@ bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ linux listserv local netadmin@ nobody@ noone@ noreply ntivi oocies panda postmaster@ rating@ root@ samples sopho support update winrar winzip
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Зараженные письма выглядят следующим образом:
Отправитель:
postcard service
Тема письма:
Открытка с POSTCARD.RU номер <произвольный номер>
Текст письма:
Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.
Распространение через P2P
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0.exe KAV 5.0.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe
Действие
Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.
Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.