RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Scano.l
| Время детектирования | 24 апр 2006 03:42 MSK |
| Время выпуска обновления | 24 апр 2006 03:42 MSK |
| Описание опубликовано | 11 май 2006 19:17 MSK |
Рекомендации по удалению
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Во вложение зараженного письма червь помещает не свою копию, а HTA-компонент, который содержит исполняемый файл червя.
Червь является приложением Windows (PE EXE-файл), имеет размер около 18 КБ.
Практически полностью идентичен варианту Email-Worm.Win32.Scano.e, отличается от него только версией программы-упаковщика.
Рекомендации по удалению
- Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
- Удалите из системного реестра следующие записи:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%Windir%\csrss.exe"[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Application"="%Windir\csrss.exe" - Удалите следующие файлы:
- %Windir%\csrss.exe
- C:\ntldr.exe
- Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
- Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Areses. f (McAfee) - Mal/Basine-A (Sophos)
- Worm.
Scano. i (ClamAV) - W32/Areses.
H. worm (Panda) - W32/Scano.
A (FPROT) - Worm:
Win32/Scano. P@mm (MS(OneCare)) - Win32.
HLLM. Perf. based (DrWeb) - Win32/Scano.
L worm (Nod32) - Win32.
Worm. Scano. L (BitDef7) - I-Worm.
Scano. H (VirusBuster) - Win32:
Scano-AA [Wrm] (AVAST) - Email-Worm.
Win32. Scano (Ikarus) - I-Worm/Generic.
JA (AVG) - WORM/Scano.
L (AVIRA) - W32.
Areses. F@mm (NAV) - W32/Packed_Upack.
A (Norman) - Worm.
Mail. Scano. e (Rising) - Email-Worm.
Win32. Scano. l [AVP] (FSecure) - WORM_ARESES.
GEN (TrendMicro) - Email-Worm.
Win32. Scano. ab (Sunbelt) - I-Worm.
Scano. H (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей