Email-Worm.Win32.VB.bi
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.
Инсталляция
После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:
%System%\Sample.zip
При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:
%System%\New WinZip File.exe %System%\scanregw.exe %System%\Update.exe %System%\Winzip.exe %System%\WINZIP_TMP.EXE %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe %Windir%\rundll16.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"="scanregw.exe /scan"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "WebView"="0" "ShowSuperHidden"="0"
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
dbx eml htm imh mbx msf msg nws oft txt vc
Червь также сканирует файлы, имеющие в своем имени следующие подстроки:
content temporary
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
* *Hot Movie*
* A Great Video
* Arab sex DSC-00465.jpg
* eBook.pdf
* Fuckin Kama Sutra pics
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny :)
* Fw: Picturs
* Fw: Real show
* Fw: SeX.mpg
* Fw: Sexy
* Fwd: Crazy illegal Sex!
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Photos
* Re:
* Re: Sex Video
* School girl fantasies gone bad
* The Best Videoclip Ever
* You Must View This Videoclipe!
Текст письма:
* ----- forwarded message -----
* >> forwarded message
* forwarded message attached.
* Fuckin Kama Sutra pics
* hello, i send the file. Bye
* Hot XXX Yahoo Groups
* how are you? i send the details.
* i attached the details. Thank you.
* i just any one see my photos. It's Free :)
* Note: forwarded message attached. You Must View This Videoclip!
* Please see the file.
* Re: Sex Video
* ready to be FUCKED ;)
* The Best Videoclip Ever
* VIDEOS! FREE! (US$ 0,00)
* What?
Имя файла-вложения:
* 007.pif
* 04.pif
* 3.92315089702606E02.UUE
* 677.pif
* Attachments[001].B64
* document.pif
* DSC-00465.Pif
* DSC-00465.pIf
* eBook.PIF
* eBook.Uu
* image04.pif
* New_Document_file.pif
* Original Message.B64
* photo.pif
* School.pif
* SeX.mim
* WinZip.BHX
* Word_Document.hqx
* Word_Document.uu
Распространение через открытые сетевые ресурсы
Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:
ADMIN$ C$
Прочее
Email-Worm.Win32.VB.bi закрывает, выгружает из системы, удаляет ветки реестра и исполняемые файлы различных антивирусных программ и межсетевых экранов.
Также червь может загружать из интернета свои обновления без ведома пользователя.
Также на зараженном компьютере червь блокирует работу мыши и клавиатуры.