Червь «Mintal» распространяется через TheBat!

В сети обнаружен новый многокомпонентный интернет-червь «Mintal». Он примечателен тем, что распространяется через почтовую систему TheBat!.

«Mintal» представляет собой приложение Windows (PE EXE-файл) и написан на Delphi.

Компонентами червя являются:

«install.exe» или «hwminstall.exe» — «дроппер», размер около 310K (упакован ASPack, распакованный размер — около 760K).

«insthwm.dll» — основная компонента, размер около 650K.

«SVSHOST.EXE» — компонента рассылки писем, также содержит троянскую процедуру, размер около 490K.

«hwmdll.dll» — библиотека перехвата и ведения лога клавиатуры, размер около 41K.

При старте «дроппер» создаёт в системном каталоге Windows подкаталог hwminstall и копирует себя в него с именем «install.exe», также в системном каталоге в файле «insthwm.dll» создаётся основная компонента червя.

При запуске компоненты «insthwm.dll» она создаёт в системном каталоге еще два файла (компоненты
червя): «SVSHOST.EXE» и «hwmdll.dll» и запускает «SVSHOST.EXE» на выполнение.

«SVSHOST.EXE» выполняет следующие действия:

1. Получает доступ к базе данных TheBat!, ищет в ней адреса электронной почты и рассылает
по ним свои копии, вложенные в письма. При рассылке «Mintal» использует протокол SMTP (прямой
доступ) и отсылает свои письма через почтовый сервер «smtp.bk.ru».

Зараженные письма содержат:

Заголовок: Зацени прогу
Текст: Зацени новую прогу!
Имя вложения: install.exe

2. Перехватывает клавиатуру и при запуске программы «WebMoney.exe» ведет лог нажимаемых
символов, перехваченная информация затем отправляется на адрес злоумышленника (возможно, автора
вируса). Туда же отсылается персональная информация из каталога ICQ.

3. Скачивает свои новые версии с сайта «http://www.demonxtex.narod.ru» и запускает их на
выполнение («апгрейдит» себя).

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Mintal» доступно в Вирусной Энциклопедии Касперского.