«Лаборатория Касперского» предупреждает об обнаружении нового интернет-червя I-Worm.Amus.a. Червь распространяется по электронной почте в качестве вложений в зараженные электронные письма.
На момент добавления специальных сигнатур в антивирусные базы, детектировался как I-Worm.generic.
Червь написан на VisualBasic, файл червя имеет размер 50 КБ, упакован Yoda.
Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).
Инсталляция
При своем запуске червь:
1) создаёт в памяти уникальный идентификатор с именем "Masum";
2) пытается вызвать системную функцию ISpeechVoice.Speak для воспроизведения звукового сообщения:
How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.
3) копирует себя в корневой каталог диска C: под именем "Masum.exe", а также в каталог Windows под именами:
Adapazari.exe
Ankara.exe
Anti_Virus.exe
Cekirge.exe
KdzEregli.exe
Messenger.exe
Meydanbasi.exe
My_Pictures.exe
Pide.exe
Pire.exe
Файл "KdzEregli.exe" регистрируется в ключе автозапуска системного реестра Windows:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Microzoft_Ofiz"="%WINDIR%KdzEregli.exe"
Кроме того, в системном реестре создается следующая запись:
[HKCUSOFTWAREMicrosoftMasumWho]
"Who"="OnEmLi_DeGiL"
Размножение через email
При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.
Зараженные письма
ЗАГОЛОВОК
Listen and Smile
ТЕКСТ
Hey. I beg your pardon. You must listen.
ИМЯ ВЛОЖЕНИЯ
Masum.exe
Червь использует реальный адрес отправителя зараженного письма.
Проявления в системе
1, 6, 20 и 25 числа каждого месяца червь заменяет URL стартовой страницы программы Internet Explorer текстом:
Konneting du pepil and dizkoneting you.
Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.
2, 15 и 17 числа каждого месяца червь пытается удалить все файлы с расширением "ini" в каталоге Windows.
10 и 23 числа каждого месяца червь пытается удалить все файлы с расширением "dll" в каталоге Windows.
___________________________________________________________________
"Лаборатория Касперского" сообщает об увеличении числа перехватов почтового червя I-Worm.Mydoom.q. Червь распространяется через интернет в виде вложений в зараженные электронные...
1. I-Worm.Bagle.at "Лаборатория Касперского" сообщает о существенном росте числа перехватов обнаруженного 29 октября 2004 года нового варианта червя Bagle - I-Worm.Bagle.at. Червь распространяется...
Акция проводится с 15 сентября по 31 декабря 2004 года. Купив один из продуктов "Лаборатории Касперского" для домашних пользователей или продлив подписку на лицензию, вы...
Обнаружен первый мобильный вирус, распространяющийся через мультимедийные сообщения MMS. Об этом сообщает на своем сайте финская компьютерная фирма "F-Secure". По данным...
