Email-Worm.Win32.Warezov.bw

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл), имеет размер 150557 байт. Упакован при помощи UPack. Размер в распакованном виде — около 540 КБ.

Инсталляция

После запуска червь выдает на экран следующее сообщение:

При инсталляции червь копирует себя в корневой каталог Windows с именем serv.exe:

%Windir%\serv.exe

Также червь создает следующие файлы в системном и корневом каталогах Windows:

Также червь создает следующие записи в системном реестре:

Т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Пример зараженного письма:

Тема письма:

Выбирается из списка:

• Error
• Good Day
• hello
• Mail Delivery System
• Mail server report
• Mail Transaction Failed
• picture
• Server Report
• Status

Текст письма:

Выбирается из списка:

• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.

• Mail server report.

  Our firewall determined the e-mails containing worm copies are being sent from your computer.

  Nowadays it happens from many computers, because this is a new virus type (Network Worms).

  Using the new bug in the Windows, these viruses infect the computer unnoticeably.
  After the penetrating into the computer the virus harvests all the e-mail addresses
  and sends the copies of itself to these e-mail addresses

  Please install updates for worm elimination and your computer restoring.

  Best regards,
  Customers support service

Деструктивная активность

Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

Также червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.

Рекомендации по удалению

Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».

«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.

1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2. В диспетчере задач найдите процесс с именем:

   serv.ex

   Если обнаружите такой процесс — завершите его.
3. Вручную удалите следующие файлы из корневого и системного каталогов Windows:

   %System%\e1.dll
   %System%\regaufat.dll
   %System%\wupstlnt.dll
   %System%\cssewmpd
   %Windir%\serv.dll
   %Windir%\serv.s
   %Windir%\serv.wax
   %Windir%\serv.exe

4. Удалите из системного реестра следующие записи:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "serv"="%Windir%\serv.exe s"

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="wupstlnt.dll e1.dll"

5. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
6. Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).