Email-Worm.Win32.Lovelorn.a

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet za po艣rednictwem poczty elektronicznej. Zainfekowany plik ma posta膰 aplikacji PE EXE o rozmiarze oko艂o 100 KB i powsta艂 przy u偶yciu j臋zyka programowania C++.

Zainfekowane wiadomo艣ci mog膮 wygl膮da膰 nast臋puj膮co:

  • Temat:
    Re:baby!your friend send this file to you !

    Tre艣膰:

    Read this file
  • Temat:
    HELP??-

    Tre艣膰:

    Help...
  • Temat:
    Re:Get Password mail...

    Tre艣膰:

    Enjoy
  • Temat:
    There're some Passwords here

    Tre艣膰:

    Read File attach
  • Temat:
    Re:Binladen_Sexy.jpg

    Tre艣膰:

    run File Attach to extract:BinladenSexy.jpg...
  • Temat:
    The Sexy story and 4 sexy picture of BINLADEN !

    Tre艣膰:

    Enjoy! BINLADEN:SEXY..
  • Temat:
    Re:I Love You...OKE!

    Tre艣膰:

    Souvenir for you from file attach...
  • Temat:
    A Greeting-card for you.

    Tre艣膰:

    See the Greeting-card.
  • Temat:
    Re:Kiss you..^@^

    Tre艣膰:

    Read file attach
  • Temat:
    Guide to ...

    Tre艣膰:

    I like Sexy with you.
  • Temat:
    Re:Baby! 2000USD,Win this game...

    Tre艣膰:

    Play the game from file attach
  • Temat:
    Help

    Tre艣膰:

    Help.

Nazwa za艂膮cznika jest generowana losowo i mo偶e posiada膰 nast臋puj膮ce rozszerzenia:

  • KISS,
  • OK,
  • EXE,
  • HTM.

Pole zawieraj膮ce adres zwrotny nadawcy jest sfa艂szowane.

Instalacja

Po uruchomieniu robak kopiuje tworzy w艂asne kopie w folderze systemowym Windows:

  • Explorer.exe;
  • Kernel32.exe;
  • Netdll.dll;
  • Serscg.dll.

Nast臋pnie szkodnik tworzy pliki Setup.hrm, Bsbk.dll oraz Netsn.dll, kt贸re zawieraj膮 kod w formacie MIME, a tak偶e plik Findfast.exe w folderze Startup.

Robak zapewnia sobie uruchamianie wraz z ka偶dym startem systemu operacyjnego tworz膮c w rejestrze klucz auto-run:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
explorer=%System%explorer.exe
.

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 w plik贸w DBX oraz HTM znajduj膮cych si臋 na zainfekowanym komputerze. Znalezione kontakty gromadzone s膮 przez robaka w pliku Mssys.dll. W celu wysy艂ania zara偶onych wiadomo艣ci e-mail szkodnik wykorzystuje w艂asny silnik SMTP.

Rozprzestrzenianie - dyskietki

Szkodnik kopiuje si臋 z nazw膮 NQH_Kiss_you.exe na no艣nik umieszczony w nap臋dzie A:.

Infekowanie plik贸w

Robak posiada mo偶liwo艣膰 infekowania aplikacji PE, poprzez dopisywanie w艂asnego kodu do nag艂贸wk贸w plik贸w.