Email-Worm.Win32.Warezov.do

Технические детали

Данная модификация семейства почтовых червей Warezov представляет собой компонент, используемый другими версиями этого семейства.

Данная компонента рассылается червем по электронной почте. Вредоносная программа является приложением Windows (PE EXE-файл). Имеет размер 30724 байта. Упакована при помощи UPX. Размер распакованного файла — около 67 КБ.

Инсталляция

При запуске вредоносной программы на экране отображается следующее сообщение:

Также червь может создавать файл с расширением tmp в своем рабочем каталоге и открывать его в окне блокнота:

Червь копирует свой исполняемый файл в системный каталог Windows со случайным именем, состоящим из прописных букв латинского алфавита.

Деструктивная активность

Данная модификация червя Warezov рассылается по электронной почте. Основной функцией данной вредоносной программы является загрузка и установка последней версии семейства червей Warezov на компьютер пользователя.

Червь скачивает файл по следующей ссылке (на момент создания описания данная ссылка не работала):

Скачанный файл сохраняется во временный каталог Windows и запускается на исполнение.

Также червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Из системного каталога Windows удалить копию червя.
4. Удалить содержимое папки %Temp%
5. Удалить все зараженные письма из всех почтовых папок.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).