Email-Worm.Win32.Warezov.jv

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из интернета новейшие обновления червя с различных сайтов злоумышленника.

Червь является приложением Windows (PE EXE-файл), имеет размер 101083 байт. Упакован при помощи Upack. Размер в распакованном виде — около 376 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в папку Windows с именем tpup.exe и запускает его с ключом “s”:

Извлекает из своего тела файл e1.dll (размер 6144 байт):

Для автоматической загрузки своих компонентов при последующих стартах Windows червь создает параметры в ключах автозагрузки системного реестра:

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook, а так же в файлах на жестком диске пользователя.

Найденные адреса электронной почты сохраняются в файле:

Деструктивная активность

По всем найденным адресам электронной почты червь рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из интернета основной исполняемый файл червя:

Тема письма выбирается из списка:

• Error
• Good Day
• hello
• Mail Delivery System
• Mail server report
• Mail Transaction Failed
• picture
• Server Report
• Status
• test

Текст письма выбирается из списка:

• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail server report.

  Our firewall determined the e-mails containing worm copies are being sent from your computer.

  Nowadays it happens from many computers, because this is a new virus type (Network Worms).

  Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

  Please install updates for worm elimination and your computer restoring.

  Best regards,
  Customers support service

Имя файла вложения содержит следующие строки в своем имени:

• body
• data
• doc
• docs
• document
• file
• message
• readme
• test
• text
• Update-KB<случайные цифры>-x86

И расширения zip или doc.exe или txt.exe, перед которыми следует длинная последовательность пробелов.

В процессе работы создает файлы:

%WinDir%\tpup.dat
%WinDir%\tpup.s

Компонент червя:

%System%\e1.dll

Внедряется в случайно выбранные процессы в системе и служит для отключения антивирусной защиты компьютера. Данный компонент пытается завершить процессы антивирусов и персональных брандмауэров и остановить их службы.

Также червь загружает список ссылок на файлы в интернете с различных сайтов злоумышленника, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.

Рекомендации по удалению

«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать червя и противодействовать его деструктивным функциям без обновления антивирусных баз.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. С помощью «Диспетчера задач» завершить процесс червя (возможное имя tpup.exe).
2. Удалить исходный файл червя.
3. Удалить файлы:

   %WinDir%\tpup.exe
   %WinDir%\tpup.dat
   %WinDir%\tpup.s
   %WinDir%\tpup.wax
   %System%\e1.dll

4. Удалить параметры из ключей системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   tpup=%WinDir%\tpup.exe s

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   AppInit_DLLs=<имя случайной системной библиотеки> e1.dll

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).