название:Email-Worm.Win32.FunnyPics
размер файла: 14316 байт
распространение:
через интернет в виде вложений в зараженные электронные письма
инсталяция:
Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:
Затем червь регистрирует данный файл в ключе автозапуска системного реестра Windows в качестве нового сервиса:
При каждой следующей загрузке Windows автоматически запустит новый сервис.
действие на систему:
Червь совмещает в себе две процедуры:
распространение по электронной почте;
бэкдор-процедура удаленного управления компьютером.
На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.
Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Тема письма
При составлении письма тема выбирается случайным образом из следующего списка:
Тело письма постоянно и представляет собой следующий текст:
Вложение
В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.
Имя файла случайным образом выбирается из следующего списка:
удаление:
Для удаления червя необходимо проделать следующие действия:
1)Удалить ключ реестра:
2)В диспетчере задач завершить процесс brsh32.exe.
3)Удалить файл червя %WinDir%\brsh32.exe.
размер файла: 14316 байт
распространение:
через интернет в виде вложений в зараженные электронные письма
инсталяция:
Червь создает свою копию в корневом каталоге Windows с именем brsh32.exe:
Код:
%WinDir%\brsh32.exe
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"brsh32Service"="%WinDir%\brsh32.exe -q"действие на систему:
Червь совмещает в себе две процедуры:
распространение по электронной почте;
бэкдор-процедура удаленного управления компьютером.
На зараженном компьютере червь производит поиск email-адресов, на каждый из которых происходит отправка зараженного письма.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Червь переходит в режим ожидания соединения по случайно выбранному TCP-порту из диапозона 8000 — 8255.
Таким образом, злоумышленник может выполнять различные команды на компьютере пользователя, иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.
Тема письма
При составлении письма тема выбирается случайным образом из следующего списка:
Код:
are you ready to enjoy?
do you wanna laugh out?
Download funny pics for free!
download screensavers for free!
Free pics and screensavers
free screensaver
funny pics is online again!
funnypics special offer
huff OUT!
humor OnLine
hunk of fun!
Listen to Dr.Fun
pics & screensavers
ready? steady? laugh!
Save your screen!
what you wanna see?
Содержимое письмаТело письма постоянно и представляет собой следующий текст:
Код:
Funny Pics Inc. strikes back with more free stuff.Visit our new website with lots of funny pics and new screensavers like this! www.funnypics.comВложение
В качестве вложения червь отправляет по сети свою копию: файл %windir%\brsh32.exe. Однако червь маскирует этот файл под файл-картинку с сайта www.funnypics.com.
Имя файла случайным образом выбирается из следующего списка:
Код:
billBates.scr
bzzz.scr
funnyPic.scr
intelAside.scr
kennyIsAlive.scr
mac0s.scr
matrix-SP.scr
mrBrown.scr
nastyPokemon.scr
paradise.scr
phantomMenaze.scr
southPark.scr
SouthParkOuttaSpace.scr
starWarz.scr
waaazUp.scr
x-filez.scrудаление:
Для удаления червя необходимо проделать следующие действия:
1)Удалить ключ реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"brsh32Service"="%WinDir%\brsh32.exe -q"3)Удалить файл червя %WinDir%\brsh32.exe.