Технические детали
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.
Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.
Инсталляция
Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.
После запуска червь выводит на экран ложное сообщение об ошибке:
WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:
Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:
32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win
Например, "windiag.exe" и "data.exe".
Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<случайный ключ>"="%System%\<имя файла червя>"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<случайный ключ>"="%System%\<имя файла червя>"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:
clonzips.ssc
clsbern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sysmms32.lla
zippedsr.piz
Размножение
Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
|
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
|
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
|
Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
Найденные адреса электронной почты червь сохраняет в файлах с именами:
winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal
Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.
Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.
Прочее
Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.