Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ. Инсталляция
При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:
%WinDir%\tpup.exe
Извлекает из своего тела файл e1.dll (размер 6144 байт):
%System%\e1.dll
Для автоматической загрузки своих компонент при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
tpup=%WinDir%\tpup.exe s
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=<имя случайной системной библиотеки> e1.dll
Распространение через email
Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.
Найденные адреса электронной почты сохраняются в файле:
%WinDir%\tpup.wax
Деструктивная активность
По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:
Тема письма выбирается из списка:
* Error
* Good Day
* hello
* Mail Delivery System
* Mail server report
* Mail Transaction Failed
* picture
* Server Report
* Status
* test
Текст письма выбирается из списка:
* Mail transaction failed. Partial message is available.
* The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from
your computer.
Nowadays it happens from many computers, because this is a new virus type
(Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail
addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
Имя файла вложения содержит следующие строки в своем имени:
* body
* data
* doc
* docs
* document
* file
* message
* readme
* test
* text
* Update-KB<случайные цифры>-x86
И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.
В процессе работы создает файлы:
%WinDir%\tpup.dat
%WinDir%\tpup.s
Компонент червя:
%System%\e1.dll
Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.
Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.