[Tuflya07]

Email-Worm.Win32. Iksmas.gey

20 апреля, 2010


Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция

Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PromoReg" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Также программа создает следующие ключи реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion]
RList = "<random character>"
[HKCU\Software\Microsoft\Windows\CurrentVersion]
MyID = "<random character>"

Деструктивная активность

При запуске программа выполняет поиск адресов электронный почты на компьютере, найденные адреса программа в зашифрованной форме отсылает на адреса злоумышленника при помощи HTTP POST запроса. В ответ на данный запрос программа также может получить команду на скачивание другого вредоносного программного обеспечения.

Далее программа рассылает по всем найденным и полученным от злоумышленника электронным почтовым адресам письма, содержащие ссылку на адрес
http://adoresong.com/index.php
на котором предположительно раньше находилась вредоносная программа.

Также программа обновляет свою версию, скачивая её с электронного адреса
http://adoresong.com/index.php