Security Lab

Email-Worm.Win32. Warezov.jv

Email-Worm.Win32. Warezov.jv

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из интернета новейшие обновления червя с различных сайтов злоумышленника.

Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ. Инсталляция

При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:

%WinDir%\tpup.exe

Извлекает из своего тела файл e1.dll (размер 6144 байт):

%System%\e1.dll

Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tpup=%WinDir%\tpup.exe s

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.

Найденные адреса электронной почты сохраняются в файле:

%WinDir%\tpup.wax

Деструктивная активность

По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:

Тема письма выбирается из списка:

    * Error
* Good Day
* hello
* Mail Delivery System
* Mail server report
* Mail Transaction Failed
* picture
* Server Report
* Status
* test

Текст письма выбирается из списка:

    * Mail transaction failed. Partial message is available.
* The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from
your computer.

Nowadays it happens from many computers, because this is a new virus type
(Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
 After the penetrating into the computer the virus harvests all the e-mail
addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Имя файла вложения содержит следующие строки в своем имени:

    * body
* data
* doc
* docs
* document
* file
* message
* readme
* test
* text
* Update-KB<случайные цифры>-x86

И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.

В процессе работы создает файлы:

%WinDir%\tpup.dat
%WinDir%\tpup.s

Компонент червя:

%System%\e1.dll

Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.

Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!