Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма.
Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится архивированная копия червя.
Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованом виде — 79872 байта, размер в распакованном виде — примерно 553472 байта.
Инсталляция
После запуска червь копирует себя с произвольным именем в системный каталог Windows.
Например:
%System%\VQLOQV.EXE
Затем регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "vqloqv"="vqloqv.exe"
Также в системном каталоге Windows червь создает dll-файл с произвольным именем. Например:
%System%\clsmlcsv.dll
Данный файл детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.g.
Распространение через email
Для поиска адресов жертв червь сканирует файлы с расширениями из нижеприведенного списка и рассылает себя по всем найденным в них адресам электронной почты.
.ASP .DBX .EML .HTM .MBX .SHT .TBB
Игнорируется отправка писем на адреса, содержащие следующие строки:
abuse admin alert mcafee messagelab microsoft noreply pandasoft postmaster recipients report root sophos spam symantec trendmicro virus webmaster
Для отправки писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем
Зараженные письма рассылаются с различными заголовками. Текст письма содержит только ссылку на зараженный файл-архив в интернете. Имя архива соответствует теме письма.
Тема письма: details girls image love message music news photo pic readme resume screensaver song video
Текст письма:
Содержит только ссылку на зараженный ZIP-архив в интернете. Имя архива соответствует теме письма. ZIP-архив содержит копию червя с двойным расширением. Например:
love.jpg ...scr
Действие
Червь собирает нажатия клавиш, данные об общих папках (shares), пароли автосохранения Internet Explorer, пароли от электронной почты и др. конфиденциальные данные и отсылает их на адрес www.melan******oll.biz.