Email-Worm.Win32.Mimail.l
Материал из Total Malware Info
Email-Worm.Win32.Mimail.l Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 11296 байт. Упакован UPX, распакованный размер ~481 к.б.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\svchost.exe %WinDir%\x8wui12s.tmp %WinDir%\xu39reu.tmp %WinDir%\xu298da.tmp
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] France=%WinDir%\svchost.exe
Распространение по электронной почте
Адреса для рассылки зараженных писем берутся из адресной книги Windows. Так же червь производит поиск адресов электронной почты в файлах, которые находятся в папках на которые указывают значения параметров в ключе реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
поиск производится во всех файлах за исключением тех, которые имеют расширения:
сom wav cab pdf rar zip tif psd ocx vxd mp3 mpg avi dll exe gif jpg bmp
Рассылаемые червем письма содержат один из двух следующих вариантов текста в теле письма:
Good afternoon, We are going to bill your credit card for amount of $22.95 on a weekly basis. Free pack of child porn CDs is already on the way to your billing address. If you want to cancel membership and your CD pack please email order and credit card details to security@europe.spamhaus.org Are you ready for all types of underage porn? We have the best selection for every taste! Just click the secret links below and have fun: http://www.spamhaus.org http://www.spews.org http://www.register.com http://www.cardcops.com http://www.carderplanet.net http://www.spamcop.net http://disney.go.com http://www.authorizenet.com Nude boys under 16! Nude girls under 16! Incest, a daddy & a daughter! We have everything you have ever dreamed for! Hi Greg its Wendy. I was shocked, when I found out that it wasn't you but your twin brother!!! That's amazing, you're as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9. He took my skirt off, then my panties, then my bra, he sucked my tits, with the same fury you do it. He was writing alphabet on my pussy for 20 minutes, then suddenly stopped, put me in doggy style position and stuck his dagger.But Greg, why didn't you warn me that his dick is 15 inches long???? I was struck, we fucked whole night. I'm so thankful to you, for acquainted me to your brother. I think we can do it on the next Saturday all three together? What do you think? O yes, as you wanted I've made a few pictures check them out in archive, I hope they will excite you, and you will dream of our new meeting... Wendy.
Поле “От” содержит строку: “Wendy”. Поле “Тема” содержит строку: ” Re[2]” Имя файла вложения: “wendy.zip”, вложения является архивом, в котором находится файл с именем “for_greg_with_love.jpg.exe”
Деструктивная активность
Устанавливает соединение со следующими адресами:
http://www.spamhaus.org http://www.spews.org http://www.register.com http://www.cardcops.com http://www.carderplanet.net http://www.spamcop.net http://disney.go.com http://www.authorizenet.com
и отсылает на 80-й TCP порт пакеты содержащие мусор.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (возможное местоположение – папка ”Входящие” в почтовом клиенте).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] France=%WinDir%\svchost.exe
%WinDir%\svchost.exe %WinDir%\x8wui12s.tmp %WinDir%\xu39reu.tmp %WinDir%\xu298da.tmp
