Email-Worm.Win32.Poca.a
Материал из Total Malware Info
Email-Worm.Win32.Poca.a Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 48116 байт. Упакован при помощи UPX, распакованный размер 1400 к.б.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%System%\alsys.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe"
Червь создает в своем рабочем каталоге файл с произвольным именем и расширением .exe и запускает его. Данный файл имеет размер 31363 байта и детектируется Антивирусом Касперского как Email-Worm.Win32.Zhelatin.a При запуске извлеченный червем файл создает следующий файл:
%System%\wincom32.sys
Данный файл имеет размер 46208 байта и детектируется Антивирусом Касперского как Trojan-Dropper.Win32.Agent.bbv. Данный файл является драйвером Windows, который на уровне ядра производит внедрение в системный процесс services.exe кода, который имеет размер 41536 байт и определяется Антивирусом Касперского как Email-Worm.Win32.Zhelatin.a.
Распространение через email
Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера начиная с последнего.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Письма не отсылаются на адреса содержащие строки:
microsoft .gov .mil
Тема письма выбирается произвольным образом из списка:
Magic of Flowers Sending You My Love Together You and I Window of Beauty Doing It for You Evening Romance Wrapped Up Most Beautiful Girl Touched by Love If I Knew Heart of Mine Til the End of Time With This Ring Tender Whispers Soul Partners With All of My Heart I Always Knew Awaiting Your Love Want to Meet? So in Love This Feeling Red Rose Until the Day My Invitation Worthy of You You're the One So in Love You and I Forever Words I Write The Candle's Light True Love My Perfect Love Waiting for You This Day Forward Without Your Love Now and Forever Thanks...Love Just You A Sweet Love Search for One A Song to You If I Could Hand in Hand I Win with You Wine and Roses Back Together I Give to You That Special Love Our Love Old Together Cyber Love Against All Odds Hey Cutie Our Wedding Day My Eye on You Unique Love Full Heart Forever in Love To New Spouse For Better of For Worse All For You When I'm With You Everyone Needs Someone Heart is Breaking With All My Love Cuddle Up Safe and Sound Made for Each Other Brand New Love Someone at Last You and I Hold On All That Matters Our Two Hearts You Asked Me Why Wish Upon a Star For You Brand New Love You're so Far Away Together Again I wish The Long Haul Love You Deeply In Love It's Your Move Love Birds Safe With You Sending Kiss You + Me I Would Do Anything Vacation Love The Kiss Hand in Hand Now I Know Live With Me Pockets of Love He Blessed Our Lives Two of a Kind Soul Mates I Still Love You Dancing With You Forever and Ever Twice Blest Longing for You Thinking of You Twilight Paradise Wish I Could Tell You Teddy Bear & Roses Let's Get Frisky Cuddle Me Please Solitary Beauty Take My Hand So Unique P.M.S We Have Walked Fields Of Love I Am Lost In You Bewitching Moonlight The Letter Till Morning's Light Trunk Full Of Love Your Silly Smile Till Morninig's Light Just You & Me A Special Flower for You The Sweet Taste of Love A Red Hot Kiss Won't you dance with me A Special Kiss Our love is torn by miles Every Inch of Your Body My Heart belongs to you Steamy Dream Moonlit Waterfall My Heart is Thinking A Weekend Getaway Summer Love A Hug & Roses How Much I Love You Love for Granted Thinking about you Angel of Love You're Soo kissable From this day forward In My Heart Between Us Hold Me (distant love) I Would Give you Anything A Bouquet of Love I Think of You Wild Nights--Wild Nights Memories You are out of this world When I look at you Last Night was Hot! Peek-A-Boo You Lucky Duck! 5 Reasons I Love You I Can't Function Our Love Everyday Emptiness Inside Me Love is in the Air We're a Perfect Fit A Romantic Place I Love You Mower The Mood for Love Love at First Sight You Brighten My Day You're My Hero Can't Wait to See You! Showers Of Love You Were Worth the Wait Crazy way to say I Luv U Times Are Hard, I Luv U You Rock Me! Puppy Love You Are My Guiding Star We Are Different I Woof You A Monkey Rose for You A Kiss for You A Little (sex) Card The Love Bugs Kisses, Hugs & Roses Feeling Horny? A Day in Bed Coupon Dream Date Coupon Bubble Bath Coupon Steamy Sex Coupon A Relaxing Coupon Massage Coupon Dinner Coupon Romantic Picnic Coupon Breakfast in Bed Coupon Kiss Coupon Passionate Kiss Only You Internet Love Want You to Know Will You? I'll Be Your Man I Love Thee I Love You So Rose for my Love Baby, I'll Be There Unmatchable Beauty I Believe Dream Girl I Dream of you I am Complete Love Remains When I'm With You Our Love is Strong The Miracle of Love Inside My Heart Our Love Will Last For You....My Love The Mood for Love A Token of My Love Miracle of Love A Kiss So Gentle Why I Love You Falling In Love with You The Dance of Love Sending You My Love Hugging My Pillow Our Love Nest Wrapped in Your Arms I Love You Soo Much Eternity of Your Love Our Love is Free My Love Your Love Has Opened When You Fall in Love The Time for Love I Love Thee I Love You with All I Am Miracle of Love
В поле "от кого" помещается случайно выбранная строка из списка:
Anita April Ara Aretina Amorita Alysia Aldora Barbra Becky Bella Briana Bridget Blenda Bettina Caitlin Chelsea Clarissa Carmen Carla Cara Camille Damita Daria Danielle Diana Doris Dora Donna Ebony Eden Eliza Erika Eve Evelyn Emily Faith Gale Gilda Gloria Haley Holly Helga Ivory Ivana Iris Isabel Idona Ida Julie Juliet Joanna Jewel Janet Katrina Kacey Kali Kyle Kassia Kara Lara Laura Lynn Lolita Lisa Linda Myra Mimi Melody Mary Maia Nadia Nova Nina Nora Natalie Naomi Nicole Olga Olivia Pamela Peggy Queen Rachel Rae Rita Ruby Rosa Silver Sharon Uma Ula Valda Vanessa Valora Violet Vivian Vicky Wendy Willa Xandra Xylia Xenia Zilya Zoe Zenia
Имя файла вложения выбирается из списка:
flash postcard.exe Flash Postcard.exe Greeting Card.exe greeting card.exe Greeting Postcard.exe greeting postcard.exe Postcard.exe postcard.exe
Деструктивная активность
Червь останавливает системную службу " Брандмауэр Windows/Общий доступ к Интернету (ICS)" Червь пытается выгрузить из системы процессы, содержащие в именах следующие строки:
anti viru troja avp nav rav reged nod32 spybot zonea vsmon avg blackice firewall msconfig lockdown f-pro hijack taskmgr mcafee
Так же при каждом запуске своего исполняемого файла червь копирует свое тело рекурсивно во все папки на всех жестких дисках с именем следующего вида:
<rnd>.t
где <rnd> - последовательность из 8 случайных прописных латинских букв или цифр, файлы имеют атрибут “скрытый”. Извлекает из своего тела файл с зашифрованным списком URL для закачки файлов из интернет, и сохраняет его как:
%System%\wincom32.ini
Червь скачивает файлы по ссылкам из списка и сохраняет их в папку %System% под различными именами и запускает их на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключе системного реестра:
- Удалить файлы:
- Удалить все скрытые файлы на жестком диске, именющие имена вида:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Agent" = "%System%\alsys.exe"
%System%\wincom32.ini %System%\alsys.exe %System%\wincom32.sys
<rnd>.t
где <rnd> - последовательность из 8 случайных прописных латинских букв или цифр.
