Авторы
Вирус-червь Welyah распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь отсылает файлы с компьютера пользователя и производит разрушительные действия. Был обнаружен в декабре 2001 года.
Червь является приложением Windows (PE EXE-файл), имеет размер около 108K, написан на Visual Basic 6.
Заражение системы
При запуске зараженного файла (если пользователь откроет вложение или если червю удается воспользоваться брешью защиты IFRAME) червь активизируется, устанавливает себя в систему и регистрируется в системном реестре.
Для это червь копирует себя в каталог Windows и Windows System под именем WINL0G0N.EXE и регистрирует этот файл в ключе автозапуска системного реестра:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE =WINL0G0N.EXE
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINL0G0N.EXE =WINL0G0N.EXE
Рассылка писем
Для отсылки писем червь использует соединение с SMTP-сервером. Адрес SMTP сервера червь считывает из системного реестра или использует предопределенный адрес с сервером:
210.177.111.18
Электронные адреса, по которым рассылаются письма, червь ищет внутри файлов на диске:
«*.eml»,»*.wab»,»*.dbx»,»*.mbx»,»*.xls»,»*.xlt»,»*.mdb»
Червь отсылает письма в формате HTML. При этом в письмах используется брешь в защите Internet Explorer (IFRAME). В результате червь может автоматически активизироваться на незащищенных машинах.
Зараженные письма содержат:
Заголовок: Welcome to Yahoo! Mail
Текст: Welcome to Yahoo! Mail
Имя вложения: readme.txt
Червь хранит список адресов для отсылки писем в текущем каталоге в файле emailinfo.txt. Свой дроппер перед отсылкой червь записывает в файл email.txt
Отсылка файлов с компьютера пользователя
Червь ищет в подкаталогах локальных дисков файлы:
«tree.dat»,»smdata.dat»,»hosts.dat»,»sm.dat»
и отсылает их на ftp сервер «ftphd.pchome.com.tw» для пользователей из списка:
shit0918, shit530, shiu58, shoho2, shoo2206
Разрушительные действия
Червь удаляет все файлы в текущем каталоге. После старта из каталога Windows он удаляет системные файлы Windows.
Авторы
От тех же авторов
В той же категории
Интернет-червь Welyah использует дыру в Outlook