Червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Программа является приложением Windows (-PE-EXE файл)-.
Червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Программа является приложением Windows (PE-EXE файл). Имеет размер 10748 байт. Написана на C++.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows под следующим именем:
%System%\runouce.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]"Runonce"="%System%\runouce.exe "
name="doc3">
Деструктивная активность
Данный червь имеет функции заражения исполняемых файлов (PE-EXE файлов), а также веб-страниц (HTML, HTM-файлы) и при запуске выполняет следующие действия:
- ищет на локальном диске все исполняемые файлы и заражает их путем записи своего тела в конец заражаемых файлов и перенаправлении точки входа.
- проверяет все документы, текстовые файлы и файлы электронных таблиц на наличие адресов электронной почты
- ищет все файлы веб-страниц, модифицирует их содержимое и копирует в их каталог файл почтового сообщения, содержащий во вложении копию червя. Таким образом, при открытии зараженной страницы на собранные адреса будут отосланы подготовленные червем сообщения. Сообщения имеют следующий вид:От кого: TEST***
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Тема письма: TEST***3E9 is comming!
Тело письма отсутствует.
В приложении файл с именем «pp.exe»,
детектируемый Антивирусом Касперского как
Email-Worm.Win32.Runouce.b
Зараженные веб-страницы детектируются Антивирусом Касперского как Net-Worm.Win32.Nimda.