Email-Worm.Win32.Lovelorn.a
Zainfekowane wiadomo艣ci mog膮 wygl膮da膰 nast臋puj膮co:
- Temat:
Re:baby!your friend send this file to you !
Tre艣膰:
Read this file
- Temat:
HELP??-
Tre艣膰:
Help...
- Temat:
Re:Get Password mail...
Tre艣膰:
Enjoy
- Temat:
There're some Passwords here
Tre艣膰:
Read File attach
- Temat:
Re:Binladen_Sexy.jpg
Tre艣膰:
run File Attach to extract:BinladenSexy.jpg...
- Temat:
The Sexy story and 4 sexy picture of BINLADEN !
Tre艣膰:
Enjoy! BINLADEN:SEXY..
- Temat:
Re:I Love You...OKE!
Tre艣膰:
Souvenir for you from file attach...
- Temat:
A Greeting-card for you.
Tre艣膰:
See the Greeting-card.
- Temat:
Re:Kiss you..^@^
Tre艣膰:
Read file attach
- Temat:
Guide to ...
Tre艣膰:
I like Sexy with you.
- Temat:
Re:Baby! 2000USD,Win this game...
Tre艣膰:
Play the game from file attach
- Temat:
Help
Tre艣膰:
Help.
Nazwa za艂膮cznika jest generowana losowo i mo偶e posiada膰 nast臋puj膮ce rozszerzenia:
- KISS,
- OK,
- EXE,
- HTM.
Pole zawieraj膮ce adres zwrotny nadawcy jest sfa艂szowane.
Po uruchomieniu robak kopiuje tworzy w艂asne kopie w folderze systemowym Windows:
- Explorer.exe;
- Kernel32.exe;
- Netdll.dll;
- Serscg.dll.
Nast臋pnie szkodnik tworzy pliki Setup.hrm, Bsbk.dll oraz Netsn.dll, kt贸re zawieraj膮 kod w formacie MIME, a tak偶e plik Findfast.exe w folderze Startup.
Robak zapewnia sobie uruchamianie wraz z ka偶dym startem systemu operacyjnego tworz膮c w rejestrze klucz auto-run:
explorer=%System%explorer.exe
Adresy potencjalnych ofiar pobierane s膮 w plik贸w DBX oraz HTM znajduj膮cych si臋 na zainfekowanym komputerze. Znalezione kontakty gromadzone s膮 przez robaka w pliku Mssys.dll. W celu wysy艂ania zara偶onych wiadomo艣ci e-mail szkodnik wykorzystuje w艂asny silnik SMTP.
Szkodnik kopiuje si臋 z nazw膮 NQH_Kiss_you.exe na no艣nik umieszczony w nap臋dzie A:.
Robak posiada mo偶liwo艣膰 infekowania aplikacji PE, poprzez dopisywanie w艂asnego kodu do nag艂贸wk贸w plik贸w.