Email-Worm.Win32.Hunch

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 151 KB i powsta艂 przy u偶yciu j臋zyka programowania Visual Basic.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat:
    COSTO
    
  • Tre艣膰:
    Mensaje importante para %Odbiorca% en el archivo adjunto...
  • Nazwa za艂膮cznika: plik PE EXE o losowej nazwie

Instalacja

Po uruchomieniu robak wy艣wietla obrazek i umieszcza w folderze systemowym Windows trzy pliki. Pierwszy z nich posiada nazw臋 pliku, z kt贸rego robak zosta艂 uruchomiony, natomiast pozosta艂e dwa to THWIN.EXE oraz MSWORD.EXE.

Nast臋pnie robak tworzy w rejestrze systemowym klucze auto-run:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
THWIN=%SYSTEM%THWIN.EXE

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
THWIN=%SYSTEM%THWIN.EXE

Dodatkowo szkodnik podejmuje pr贸b臋 umieszczenia swojej kopii z nazw膮 UNSCH.JPG.EXE na dyskietce w nap臋dzie A.

Rozprzestrzenianie - poczta elektroniczna

Robak wysy艂a swoje kopie do wszytskich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook.

Funkcje dodatkowe

W zale偶no艣ci od w艂asnych licznik贸w robak dopisuje do pliku AUTOEXEC.BAT komend臋 formatuj膮c膮 dysk C.