На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.Win32.Rays


Rootkit:  Нет

Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.
Вирус размножается двумя путями - по почте и через расшаренные ресурсы. Иконка файла внешне очень похожа на иконку папки (судя по всему это она и есть), что может ввести пользователя в заблужение и он щелкнет по файлу, желая зайти в эту "папку"
В момент запуска выдает на экран сообщение "This file has been damage!" и завершает работу. Но перед выдачей сообщения он копирует исполняемый файл в папку Windows под именем Mstray.exe. В случае запуска под именем Windows\Mstray.exe он стартует без всяких сообщений и висит в памяти, никак не выдавая своего присутствия. Маскировки процесса не применяет.
После запуска вирус создает в корне диска C файлы comment.htt и desktop.ini. desktop.ini ссылается на comment.htt, а comment.htt содержит скрипт, запускающий вирус. Кроме того, вирус меняет настройки explorer -
Microsoft\Windows\CurrentVersion\Explorer\Advanced \Hidden := 0
Microsoft\Windows\CurrentVersion\Explorer\Advanced \HideFileExt := 1
Microsoft\Windows\CurrentVersion\Explorer\CabinetS tate\fullpath := 1
параметр HideFileExt ему важен, чтобы быть похожим на папку (этот параметр приводит к отключению отображения расширения файлов), а Hidden = 0 запрещает показ скрытых файлов.
Затем вирус создает ключ автозапуска Run\RavTimXP = C:\WINDOWS\FONTS\BYY.exe, копирует себя в файл BYY.exe и самоуничтожается на старом месте. Через какое-то время он копирует себя в C:\WINDOWS\HELP\DBBXY.exe, C:\WINDOWS\TEMP\WUUR.exe ... (фрагменты путей прошиты в exe файле, при каждом старте он проводит данную процедуру, причем имя все время меняется) - т.е. такие "исчезновения" и появления на новом месте под новым именем явно призваны запутать пользователя и замаскировать файл. Правда, ключ автозапуска неизменный - Run\RavTimXP, так что смысл от этого шаманства остался туманным.
Как почтовый вирус он размножается типовым образом, через почтового клиента.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.