Другие названия
Email-Worm.Win32.Rays («Лаборатория Касперского») также известен как: I-Worm.Rays («Лаборатория Касперского»), W32/Wukill.worm (McAfee), W32.Wullik.B@mm (Symantec), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Win32/HLLW.Wukill (RAV), WORM_WUKILL.B (Trend Micro), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32:Wukill-B (ALWIL), I-Worm/Wukill.B (Grisoft), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV), W32/Wukill.A.worm (Panda), Win32/Wukill.B (Eset) Описание опубликовано 18 мар 2005
Поведение
Email-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.
Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.
Инсталляция
После запуска червь выдает следующее окно:
При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:
%Windir%Mstray.exe
При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла:
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"RavTimeXP"="%Windir%Mstray.exe "
Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"=0
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем
Тема письма:
MS?DOS????
Текст письма:
???????? MS-DOS????????????????
Имя файла-вложения:
MShelp.EXE
Прочее
Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.
Источник: viruslist.com.
| 
