Энциклопедия компьютерных вирусов
         

I-Worm.Anap


Вирус-червь, распространяющийся по сетям Интернет при помощи электронной почты. Является 16-килобайтным EXE-файлом Windows. Передается по электронной почте в виде присоединенного к письмам файла SETUP.EXE. При запуске этого файла червь получает управление и активизирует свою процедуру дальнейшего распространения.

Для распространения своих копий червь ищет .HTML- и .HTTP-файлы во временном каталоге Windows и в каталоге персональных файлов MS Explorer ("My Documents" или "Мои документы"), сканирует эти файлы и ищет в них текстовые строки, содержащие адреса электронной почты. Затем червь устанавливает соединение с Интернет при помощи протокола SMTP и передает зараженные письма по обнаруженным адресам.

Червь рассылает свои копии не более чем по 10 адресам при каждом своем запуске (т.е. при активизации просоединенного к зараженному письму файла SETUP.EXE) и затем прекращает работу. Червь не инсталлирует себя в систему и не использует никаких приемов для своего повторного запуска. Таким образом, этот червь является первым известным "нерезидентным" Интернет-червем "однократного действия".

При генерации зараженных писем червь заполняет поля письма следующим образом. Поле генерируется из трех частей, каждая из которых случайным образом выбирается из вариантов:

Jhon Mark Bill Frank Sam Eva Carla Joan Jean Sophie M. C. T. R. Smith Woodruf Brown Steel Driver Seldon Forge Stab McAndrew Gregor

например, "from: Sam T. Brown". Поле "mail from:" случайно выбирается из пяти вариантов:

<support@microsoft.com> <support@netscape.com> <support@pc.ibm.com> <support@ibm.com> <support@intel.com>

Поле "Subject" содержит всего одно слово: "Patch". Текст сообщения в письме содержит текст:

This is the patch you asked for.

Для скрытия своей активности червь после окончания всех своих действий выводит окно с сообщением об ошибке (грамматические ошибки - как в оригинале):

Setup Integrity check failed due to: bad data transmision or bad disk access.

По 5-м числам ежемесячно червь выводит сообщение:

i-worm.Anaphylaxis coded by Bumblebee/29a

.This is an i-worm. Don't worry, this is not a virus. But may occur the worm has been infected by a virus during its travel and both arrived to your computer. The way of the bee

Демонстрации вирусных эффектов:



anap1.gif

anap2.gif



Содержание раздела