Security Lab

Email-Flooder.Win32.FriendGreetings

Email-Flooder.Win32.FriendGreetings

В отличие от других подобных программ эта программа после инсталляции производит рассылку сообщений всем адресатам из адресной книги Microsoft Outlook с адресом сервера (URL), откуда ее можно скачать и установить.

Это программа электронной почтовой открытки. В отличие от других подобных программ эта программа после инсталляции производит рассылку сообщений всем адресатам из адресной книги Microsoft Outlook с адресом сервера (URL), откуда ее можно скачать и установить. Именно эта особенность и привела к тому, что некоторые антивирусные компании отнесли эту программу к классу "червей".

Если пользователь "кликает" по ссылке в таком письме, запускается процедура установки программы.

При инсталляции программа предъявляет свой сертификат подлинности. Если пользователь доверяет ее электронной подписи, ему предлагается ознакомиться с лицензионным соглашением (EULA). Если пользователь не согласен с ним или не доверяет сертификату, установка прекращается.

В противном случае программа устанавливается на компьютер и рассылает сообщения всем адресатам из адресной книги Microsoft Outlook.

Сообщения выглядят следующим образом:
 Subject: %recipient% you have an E-Card from %sender%.
Message:
Greetings!

%sender% has sent you an E-Card -- a virtual postcard from FriendGreetings.com.
You
can pickup your E-Card at the FriendGreetings.com by clicking on the link
below.

http:/ /www.friendgreetings.com/pickup/pickup.aspx?< extra content removed >

Message:
------------------------------------------------------------
%recipient%
I sent you a greeting card. Please pick it up.
%sender%
------------------------------------------------------------

Во время установки программа создает несколько необходимых для его работы ключей в системном реестре. Например, для автоматического запуска после старта операционной системы создается следующий ключ:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"PMedia"="C:\Program Files\Common Files\Media\winsrvc.exe"

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!