Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся в виде вложений в электронную почту. Причём червь прикладывает к письмам не собственную копию, а только компонент, который может загружать из Интернета другие вредоносные программы.

Зараженные письма рассылаются по всем найденным на компьютере электронным адресам.

Программа является приложением Windows (PE EXE-файл). Размер ее компонентов варьируется в пределах от 89 до 114 КБ.

Инсталляция

При инсталляции червь копирует свой исполняемый файл в системный каталог Windows:

%System%\dxtmmnmd.exe

Также червь извлекает из своего тела следующий файл:

%System%\dxtmmnmd.dll

Распространение через e-mail

С целью поиска адресов будущих жертв вирус сканирует адресные книги MS Windows.

При рассылке зараженных писем червем используется собственная SMTP-библиотека.

Характеристики зараженных писем

Тема письма

Выбирается произвольным образом из списка:

Error
Good Day
hello
Mail Delivery System
Mail server report
Mail Transaction Failed
picture
Server Report
Status
test

Текст письма

Произвольным образом выбирается один из следующих вариантов:

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses. Please install updates for worm elimination and your computer restoring. Best regards, Customers support service

Имя файла вложения

body 
data 
doc 
docs 
document 
file 
message 
readme 
test 
text 
Update-KB<случайные цифры>-x86

Файлы вложения имеют расширения «.zip» или «.txt.exe».

В качестве этих файлов червь рассылает свой компонент, способный загружать из Интернета другое вредоносное программное обеспечение.

Деструктивная активность

Действия основного модуля червя

Данный представитель семейства Warezov останавливает и отключает службы следующих брандмауэров:

Sygate Personal Firewall
Zone Labs ZoneAlarm
Windows Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee.com Personal Firewall
Kerio WinRoute

Деструктивная деятельность рассылаемого компонента

Названный компонент распространяется по электронной почте при помощи основного модуля червя. Функция компонента заключается в скрытой загрузке на компьютер пользователя файла по ссылке:

kuturoisus.com/***/965/e/b****

(На момент создания описания данный URL не открывался.)

Скачанный файл сохраняется в системную папку Windows со случайным именем и расширением .exe, после чего запускается на исполнение.

Рекомендации по удалению

Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Вручную удалить следующие файлы из системного каталога Windows:

   %System%\dxtmmnmd.exe
   %System%\dxtmmnmd.dll

4. Удалить все зараженные письма из всех почтовых папок.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).