Email-Worm.Win32.Quamo
- Temat (wybierany z poni偶szych mo偶liwo艣ci):
Something very special I know you will like this Yes, something I can share with you Wait till you see this! A brand new game! I hope you enjoy it
- Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
Hey you, take a look at the attached file. You won't believe your eyes when you open it! You like games like Quake? You will enjoy this one. Did you see the pictures of me and my battery operated boyfriend? My best friend, This is something you have to see! Till next time Is Internet that safe? Check it out
- Nazwa za艂膮cznika: setup.exe
Po uruchomieniu robak wy艣wietla nast臋puj膮cy obrazek:
W tym samym czasie robak instaluje si臋 w systemie. Wci艣ni臋cie przycisku NEXT nie wywo艂uje 偶adnej operacji, natomiast po klikni臋ciu przycisku CANCEL robak uruchamia procedur臋 wysy艂aj膮c膮 zainfekowane wiadomo艣ci e-mail.
Robak tworzy folder C:EIRAM i zapisuje w艂asne kopie:
- c:eiramquake4demo.exe
- f:quake4demo.exe
Nast臋pnie szkodnik tworzy w rejestrze systemowym klucze auto-run:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"quake"="c:eiramquake4demo.exe"
"Q4"="f:quake4demo.exe"
"Q4"="c:\eiramquake4demo.exe"
"quake"="f:quake4demo.exe"
Podczas wysy艂ania zainfekowanych wiadomo艣ci e-mail robak tworzy nast臋puj膮ce pliki w folderze Windows:
- honey.exe
- quake4demo.exe
- setup.exe
Funkcja wysy艂aj膮ca zainfekowane wiadomo艣ci e-mail aktywowana jest tylko wtedy, gdy u偶ytkownik kliknie przycisk CANCEL w oknie wy艣wietlanym przez robaka.
Szkodnik wysy艂a swoje kopie do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook.
Podczas ka偶dej aktywacji robak aktwuje funkcj臋, kt贸ra szuka plik贸w posiadaj膮cych rozszerzenia: EXE, XLS, DOC, MDB, HTM, HTML, TXT oraz OCX i nadpisuje je tekstem:
You've didn't protected your files well enough Let this be a lesson! Never trust someone else eiram 1999-2001