Email-Worm.Win32.Welyah

Jest to niebezpieczny robak rozprzestrzeniaj膮cy si臋 w systemach Win32. Wirus rozsy艂a si臋 w postaci zainfekowanych plik贸w za艂膮czonych do wiadomo艣ci e-mail i mo偶e r贸wnie偶 infekowa膰 sie膰 lokaln膮 oraz kra艣膰 informacje z zainfekowanych system贸w. Robak posiada procedury destrukcyjne. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 108 KB i zosta艂 napisany w j臋zyku programowania Visual Basic 6.

Infekowanie systemu

Robak aktywuje si臋 automatycznie (korzystaj膮c z dziury w zabezpieczeniach zwanej IFRAME) u偶ytkownik musi uruchomi膰 plik za艂膮czony do zainfekowanej wiadomo艣ci. Na pocz膮tku robak instaluje swoje komponenty w systemie i tworzy dla nich klucze w rejestrze systemowym.

Podczas instalacji robak kopiuje si臋 z nazw膮 WINL0G0N.EXE do systemowego katalogu Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE = WINL0G0N.EXE

Rozprzestrzenianie

W celu wysy艂ania zainfekowanych wiadomo艣ci wirus wykorzystuje bezpo艣rednie po艂膮czenie z serwerem SMTP. Robak pobiera adres serwera SMTP z rejestru systemowego lub wykorzystuje adres 210.177.111.18.

Adresy e-mail pobierane s膮 przez wirusa z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

*.eml, *.wab, *.dbx, *.mbx, *.xls, *.xlt, *.mdb

Wysy艂ane wiadomo艣ci posiadaj膮 format HTML i wykorzystuj膮 dziur臋 IFRAME. Wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

Temat: Welcome to Yahoo! Mail
Tre艣膰: Welcome to Yahoo! Mail
Za艂膮czony plik: readme.txt

Robak przechowuje list臋 adres贸w e-mail w pliku emailinfo.txt.

Wysy艂anie plik贸w z lokalnego komputera

Robak szuka na lokalnych dyskach nast臋puj膮cych plik贸w:

tree.dat, smdata.dat, hosts.dat, sm.dat

i wysy艂a je na serwer "ftphd.pchome.com.tw" do nast臋puj膮cych u偶ytkownik贸w: shit0918, shit530, shiu58, shoho2 oraz shoo2206.

Procedura destrukcyjna

Robak usuwa wszystkie pliki zapisane w lokalnym katalogu oraz w katalogu Windows.