Email-Worm.Win32.Warezov.mo

Технические детали

Вирус-червь. Первоначально распространился при помощи спам-рассылки. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 102 до 165 КБ.

Инсталляция

При запуске червь извлекает из своего тела следующие файлы в системный каталог Windows:

%System%\diagisr.dll
%System%\isrprf32.dll
%System%\isrprov.exe
%System%\117X4sHrH5C.dll

С целью автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

Деструктивная активность

Червь подгружает свой компонент «%System%\diagisr.dll» в следующие процессы:

iexplore.exe
services.exe
firefox.exe
opera.exe
zlclient.exe
zapro.exe
smc.exe
ccapp.exe
outpost.exe
mpftray.exe

Данный компонент применяет к каждому из процессов специальные процедуры обхода систем безопансности. Для каждого процесса процедура индивидуальна, однако все они основаны на имитировании нажатий пользователем на кнопки подтверждения разрешения доступа в сеть или другой подозрительной активности.

Также червь пытается отключить службы программ обеспечения безопасности:

Zone Labs Zone Alarm
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
Kaspersky Anti-Virus Personal

Основной компонент червя похищает информацию о контактах из адресной книги Microsoft Outlook, а также из контакт листа программы Yahoo Messenger.

Похищенную информацию червь загружает на один из доступных сайтов злоумышленника:

****kerunskdarun.com
****dinkionkderunjsa.com
****linkdeshkina.com
****ionkertunhasderun.com
****ionkdesunjafunhde.com
****tunjinkderunhasdefun.com
****dunkinmdespish.com
****dinjertiona.com
****erunkiondemfunhas.com
****uiceshkin.com
****etionkasde.com
****onlderunjadesunjerpas.com
****sariomdesin.com
****onjderinjdaserinjde.com
****onmdefunshjin.com
****ionkdesunjadewionsa.com
****defunjdesa.com
****defunhsadefuinn.com
****dasetiondegnas.com
****onkdesunjadefinpiomi.com
****onkdaerinjdefunhsa.com
****onkadesunjionkasde.com
****ndefunhasetrionde.com
****jinpiontunyunde.com
****runjionkdefunhasde.com
****suntiondeunwaserun.com
****sunjiokderunjdaserin.com
****sinlinmaspion.com
****funtionkderunhsa.com
****derionjdepisadrin.com
****dnegunhfaxesun.com
****djeinkdadeisna.com
****nsadehungans.com
****esinjertiopasde.com
****duewnahsuewaa.com
****nmdefuhawuinde.com
****kirationdefun.com
****unkionmasderunhas.com
****ionkdrunjdapolinkdun.com
****npasdinkerinjjas.com
****esunjionderunshishu.com

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр из ключа системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "himem.exe" = "<путь до исполняемого файла червя> -s"

4. Изменить параметр в ключе реестра:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   "AppInit_DLLs" = "%System%\diagisr.dll"

   на оригинальное значение:

   "AppInit_DLLs" = " "

5. Удалить все зараженные письма из всех почтовых папок.
6. Перезагрузить компьютер.
7. Удалить следующие файлы:

   %System%\diagisr.dll
   %System%\isrprf32.dll
   %System%\isrprov.exe
   %System%\117X4sHrH5C.dll

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).