Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.Warezov.et

Email-Worm.Win32.Warezov.et

Время детектирования	20 апр 2007 14:54 MSK
Время выпуска обновления	20 апр 2007 14:54 MSK
Описание опубликовано	21 июн 2007 11:28 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся посредством электронной почты. В письма червь помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные сообщения рассылаются по всем найденным на компьютере адресам электронной почты.

Программа является приложением Windows (PE EXE-файл). Имеет размер 64512 байт. Упакована при помощи UPX. Распакованный размер — около 150 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows под именем «mspradme.exe»:

%System%\mspradme.exe

Также вирус извлекает из своего тела библиотеки (DLL-файлы) и сохраняет их в системный каталог Windows:

%System%\e1.dll
%System%\vb5dmspo.dll

С целью автоматического запуска своих компонентов при последующем старте системы червь создает параметры в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mspradme" = "%System%\mspradme.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "<имя случайной системной библиотеки>
vb5dmspo.dll e1.dll"

Распространение посредством e-mail

Для поиска адресов жертв червь сканирует адресные книги MS Outlook.

При рассылке почты червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма

Выбирается произвольным образом из списка:

Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test

Текст письма

Выбирается произвольным образом из списка:

Mail transaction failed. Partial message is available.

__________________________

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

__________________________

The message contains Unicode characters and has been sent as a binary attachment.

__________________________

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses
and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Имя файла вложения

body 
data 
doc 
docs 
document 
file 
message 
readme 
test 
text 
Update-KB<случайные цифры>-x86

Файлы вложения имеют расширения «.zip» или «.txt.exe».

В качестве файла вложения червь рассылает свой компонент, обладающий функцией загрузки из сети Интернет других вредоносных программ.

Деструктивная активность

Вирус имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Вручную удалить следующие файлы из системного каталога Windows:
```
%System%\vb5dmspo.dll
%System%\mspradme.exe
%System%\e1.dll
```
Удалить параметры из ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mspradme" = "%System%\mspradme.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "<имя случайной системной библиотеки>
vb5dmspo.dll e1.dll"
Удалить все зараженные письма из всех почтовых папок.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Warezov.bw

Email-Worm.Win32.Warezov.do

Email-Worm.Win32.Warezov.ex

Email-Worm.Win32.Warezov.jv

Email-Worm.Win32.Warezov.jx

Email-Worm.Win32.Warezov.la

Email-Worm.Win32.Warezov.lb

Email-Worm.Win32.Warezov.lg

Email-Worm.Win32.Warezov.mo

Email-Worm.Win32.Warezov.mx

Email-Worm.Win32.Warezov.nd

Email-Worm.Win32.Warezov.nf

Email-Worm.Win32.Warezov.ns

Email-Worm.Win32.Warezov.nv

Email-Worm.Win32.Warezov.oa

Email-Worm.Win32.Warezov.oi

Email-Worm.Win32.Warezov.op

Email-Worm.Win32.Warezov.ov

Email-Worm.Win32.Warezov.oz

Email-Worm.Win32.Warezov.pb

Email-Worm.Win32.Warezov.qa

Email-Worm.Win32.Warezov.qy

Email-Worm.Win32.Warezov.sk

Другие названия

Email-Worm.Win32.Warezov.et («Лаборатория Касперского») также известен как:

Net-Worm.VBS.Delf.et («Лаборатория Касперского»)
Backdoor.Win32.Warezov.et («Лаборатория Касперского»)
Virus: W32/Stration.gen.dldr (McAfee)
W32/Stratio-BF (Sophos)
Worm.Stration.YY (ClamAV)
W32/Warezov.gen3!W32DL (FPROT)
TrojanDownloader:Win32/Stration.A (MS(OneCare))
Win32.HLLM.Limar.based (DrWeb)
Win32/Stration worm (Nod32)
Win32.Warezov.1.Gen@mm (BitDef7)
Trojan.Opnis.Gen!Pac.45 (VirusBuster)
Win32:Warezov-MF [Wrm] (AVAST)
Email-Worm.Win32.Warezov (Ikarus)
I-Worm/Stration (AVG)
TR/Dldr.Stration.D (AVIRA)
W32.Stration@mm (NAV)
Worm.Mail.Warezov.eb (Rising)
TROJ_STRAT.EQ (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com