W32/Roach — новый вирус-червь, рассылающий себя по E-mail

W32/Roach — зашифрованный полиморфный вирус-червь, распостраняющийся по электронной почте. Заражает .EXE-файлы.

Червь попадает на компьютер в письме электронной почты в виде присоединенного файла. Характеристики зараженного письма следующие:

Тема: FW: Guess what, you’re mine!
Тело:

You have been hit

This is the funny-attachment war! You have just been hit and by the rule book you can’t hit this person back. To be in the game you need to send this message to five of your friends, try to find some small and funny attachment to send along. If you don’t have time use the one you got hit by, go ahead hit someone!

Вложение: COOKIE.ZIP

Присоединенный архив «COOKIE.ZIP» содержит выполняемый файл «COOKIE.EXE» и тестовый файл с именем «FILE_ID.DIZ» и текстом:

FortuneCookie 32 — Version 1.0
* FREEWARE *

DESCRIPTION:
============

FortuneCookie 32 is a Windows 32 version of the classical
fortune cookies you can get at some restaurants. It’s very simple
double clicking on the cookie.exe file will bring up a fortune cookie.
This program is freeware so feel free to send out a word of
wisdom to your friends!

Программа COOKIE имеет иконку, изображающую медвежока Тедди:

При активизации вирус копирует себя в каталоги %WinDir%KERNEL32.dll и %WinDirSYSTEMKERNEL32.VLL. Затем червь модифицирует файл WININIT.INI, чтобы после перезапуска системы содержимое оригинального C:WINDOWSSYSTEMKERNEL32.DLL заменялось на содержимое созданного вирусом зараженного файла с именем «KERNEL32.VLL».

Инфицированный файл KERNEL32.DLL перехватывает функции:
CopyFileA, DeleteFileA, GetFileAttributesA, GetFileAttributesW, and MoveFileA.

Червь также сохраняет свою копию в файле MMSYS32.EXE в каталоге %WinDir%SYSTEM и создает в секции авто-запуска системного реестра ключ, что позволяет ему выполняться при каждом старте Windows:

HKLMSoftwareMicrosoftCurrentVersion
RunMMSYS=%WinDir%SYSTEMMMSYS32.EXE

После перезагрузки системы все .EXE-файлы, просмотренные пользователем инфицированного компьютера в Проводнике (Microsoft Explorer), будут заражены.
Помимо вышеперечисленного червь сохраняет свою архивную копию в %WinDir%SYSTEMCOOKIE.ATT для дальнейшего использования ее при рассылке по электронной почте.