[Tuflya07]

Email-Worm.Win32. Joleee.ep

22 апреля, 2010


Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по электронной почте.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\services.exe
Для автоматического запуска при каждом следующем старте системы вредоносная программа добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"
Распространение

В теле вредоносной программы содержится встроенный спам-бот, который производит рассылку спама с зараженного компьютера пользователя. К тексту письма вредоносная программа прикрепляет свой исполняемый файл. Данные для рассылки спама вредоносная программа скачивает со следующего адреса:
http://91.207.4.250/s_alive.php
и сохраняет их во временном каталоге ОС Windows:
%Temp%\<rnd>.tmp
Где <rnd> – случайная последовательность цифр.

После чего использует скачанные данные для формирования и рассылки спама. Спам-письма программа рассылает по протоколу SMTP с использованием следующих почтовых серверов:
mx.hotmail.com
mx.yahoo.com
mx.aol.com
mx.google.com
mx.mail.com

Деструктивная активность

С помощью системной утилиты netsh отключает системный брандмауэр
netsh firewall set opmode disable
А также изменяет следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 1
"FirewallOverride" = 1



[HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s]
"Start" = 4



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile]
"EnableFirewall" = 0



[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile]
"EnableFirewall" = 0