RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.lg
| Время детектирования | 17 фев 2007 14:31 MSK |
| Время выпуска обновления | 17 фев 2007 14:31 MSK |
| Описание опубликовано | 02 мар 2007 10:37 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Данная модификация почтового червя Warezov представляет собой компонент, используемый другими представителями данного семейства. Является библиотекой Windows (DLL-файл). Имеет размер 364544 байта.
Инсталляция
Библиотека проверяет, в какой системный процесс она загружена. Если именем процесса является «winlogon.exe», в системный каталог Windows извлекаются следующие файлы:
%System%\wmvprf32.dll %System%\wmvstat.dll %System%\confwmv.dll %System%\wmvconf.exe
Данные файлы детектируются Антивирусом Касперского как модификации семейства червей Warezov: Email-Worm.Win32.Warezov.lf, Email-Worm.Win32.Warezov.lg и Email-Worm.Win32.Warezov.kz.
С целью автоматической загрузки своих компонентов при каждом последующем старте операционной системы червь добавляет ссылки на компоненты в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "confwmv.dll wmvstat.dll"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wmvdiag" = "<путь и имя исполняемого файла червя>"
Деструктивная активность
Червь производит поиск открытых окон и сканирует в них поля для ввода паролей. В случае обнаружения таковых похищает их содержимое.
Также вирус отключает системные компоненты защиты, эмулируя в их диалоговых окнах нажатия на кнопку «OK».
Кроме того, червь создает SMTP прокси-сервер на произвольном TCP-порте, затем сообщает IP-адрес зараженного компьютера и номер открытого порта на сайт злоумышленника — вместе с собранной во время своей работы информацией.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\wmvprf32.dll %System%\wmvstat.dll %System%\confwmv.dll %System%\wmvconf.exe
- Удалить следующий параметр из ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wmvdiag" = "<путь и имя исполняемого файла червя>" - Удалить строки «confwmv.dll» и «wmvstat.dll» из значения параметра системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Mal/Generic-A (Sophos)
- Worm.
Stration. AEC-1 (ClamAV) - W32/Spamta.
QO. worm (Panda) - Trojan:
Win32/Stration. F!dll (MS(OneCare)) - Win32.
HLLM. Limar (DrWeb) - Win32/Stration.
YD (Nod32) - Win32.
Warezov. EM@mm (BitDef7) - Worm.
Warezov. H (VirusBuster) - Win32:
Warezov-BGM (AVAST) - Email-Worm.
Win32. Warezov. dq (Ikarus) - I-Worm/Stration.
CBY (AVG) - WORM/Stration.
BL. 3 (AVIRA) - W32.
Stration@mm (NAV) - WORM_STRATION.
CE (PCCIL) - Worm.
Mail. Win32. Warezov. lg (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей