W32/Creepy@MM — новый интернет-червь

W32/Creepy@MM — вирус-червь, распространяющий свои копии в электронных письмах. Для рассылки своих сообщений червь использует все адреса из адресной книги the Microsoft Outlook на зараженном компьютере. Червь также меняет установки стартовой страницы в Microsoft Internet Explorer.

При активизации червь выводит на дисплей DOS-окно с текстом:

Welkom bij de hypnose truuk! Na deze hypnose sessie, kunt u iedere willekeurige tekst ondersteboven lezen!
Zorg dat u vast een A-4tje met tekst, of een krant, ondersteboven naast u hebt l
iggen. Er verschijnen zometeen tien regels met een willekeurige text op hetscherm.
Het kan tot 15 seconden duren voordat de eerste regel verschijnt.

Lees ieder woord totdat het scherm veranderd.
Nu verschijnt een draaiende spiraal. Hierop concentreert u zich gedurende 10 tot
15 seconden.

Kijk hierna snel naar het blad met tekst en zie!! U kunt ondersteboven lezen!!

Grafische elementen worden geinstalleerd, moment aub…

Немедленно после этого на дисплее зараженной машины появляется окно Outlook:

При щелчке на кнопку CANCEL оба окна (и Outlook, и DOS) исчезают. Затем червь начинает рассылку своих сообщений:

To:
BCC: All recipients in the MS Outlook address book
Тема: Leuk programmaatje!
Тело:

Hallo , dit is een heel gaaf programmaatje wat ik van Bert gekregen heb.

Opstarten en gedurende 5 minuten naar de stip kijken en daarna naar je hand. Creepy!!
Ik heb het op virussen gecheckt dus dat zit wel snor.
Groetjes…

Вложение: выполняемый файл (.exe)

При запуске вложенного файла происходит инфицирование системы.

Чтобы обеспечить свою загрузку при старте системы, червь создает в секции автозапуска системного реестра два ключа:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunMyApp=%WormPath% (любой)

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServicesMyApp=%WormPath% (любой)

Червь также добавляет в реестр следующий ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
Internet SettingsSafeSitesie.search.msn.com=
http://www.serverbeat.nl/redir.php?http://www.protagonist.nl/redir.php?http://www.uniserver.nl/redir.php?

Стартовую страницу Internet Explorer червь устанавливает на «http://www.de-isp.nl».

Червь создает на зараженном компьютере следующие ярлыки: