Email-Worm.Win32. FunnyPics
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Инсталляция
Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:
%WinDir%\brsh32.exe
Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "brsh32Service"="%WinDir%\brsh32.exe -q"
При каждой следующей загрузке Windows автоматически запустит новый сервис.
Червь совмещает в себе две процедуры:
1. распространение по электронной почте;
2. бэкдор-процедура удаленного управления компьютером.
На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Тема письма
При составлении письма тема выбирается случайным образом из следующего списка:
* are you ready to enjoy?
* do you wanna laugh out?
* Download funny pics for free!
* download screensavers for free!
* Free pics and screensavers
* free screensaver
* funny pics is online again!
* funnypics special offer
* huff OUT!
* humor OnLine
* hunk of fun!
* Listen to Dr.Fun
* pics & screensavers
* ready? steady? laugh!
* Save your screen!
* what you wanna see?
Содержимое письма
Тело письма постоянно и представляет собой следующий текст:
Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.com
Вложение
В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.
Имя файла случайным образом выбирается из следующего списка:
* billBates.scr
* bzzz.scr
* funnyPic.scr
* intelAside.scr
* kennyIsAlive.scr
* mac0s.scr
* matrix-SP.scr
* mrBrown.scr
* nastyPokemon.scr
* paradise.scr
* phantomMenaze.scr
* southPark.scr
* SouthParkOuttaSpace.scr
* starWarz.scr
* waaazUp.scr
* x-filez.scr
Деструктивная активность
Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.
Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Другие названия
Email-Worm.Win32.FunnyPics («Лаборатория Касперского») также известен как: I-Worm.FunnyPics («Лаборатория Касперского»), W95/Outspace.worm (McAfee), W95.Outspace.Worm@mm (Symantec), Win32.HLLW.Brsh.14316 (Doctor Web), Troj/Brsh (Sophos), Win32/Brsh.A@mm (RAV), WORM_FUNNYPICS.A (Trend Micro), Worm/FunnyPics (H+BEDV), Win32:BRSH (ALWIL), I-Worm/FunnyPic (Grisoft), Win32.HLLW.Brsh.14316 (SOFTWIN), Worm.FunnyPics (ClamAV), W32/FunnyPics (Panda), Win32/FunnyPics.A (Eset)