Email-Worm.Win32.Gismor

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez internet jako za艂膮cznik zainfekowanej wiadomo艣ci e-mail. Wirus ma posta膰 pliku Windows PE EXE o rozmiarze oko艂o 8 KB i zosta艂 stworzony przy u偶yciu j臋zyka programowania Assembler.

Zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

  • Adres nadawcy: MP3 Deluxe (Gismo@gmx.de)
  • Adres odbiorcy: My best friends
  • Temat: Phenomenal
  • Tre艣膰: pusta
  • Za艂膮cznik: MP3Player.exe

Robak wykorzystuje luk臋 w zabezpieczeniach, zwan膮 IFrame, dzi臋ki kt贸rej mo偶e si臋 uruchamia膰 automatycznie podczas przegl膮dania zainfekowanej wiadomo艣ci.

Podczas instalacji szkodnik kopiuje si臋 do systemowego folderu Windows z nazw膮 SSMS.EXE i tworzy klucz auto-run w rejestrze systemowym:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje bezpo艣rednie po艂膮czenie z domy艣lnym serwerem SMTP lub z serwerem mail.gmx.net.

Adresy "ofiar" pobierane s膮 z wiadomo艣ci znajduj膮cych si臋 w skrzynkach pocztowych, przy u偶yciu funkcji MAPI systemu Windows.