RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.mx
| Время детектирования | 10 апр 2007 19:03 MSK |
| Время выпуска обновления | 25 май 2007 03:47 MSK |
| Описание опубликовано | 10 апр 2007 19:03 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 89116 байт. Упакован с помощью Upack, размер в распакованном виде — около 237 КБ.
Инсталляция
При запуске червь создает следуюшие файлы:
%System%\msjidpmo.dll %System%\msssmsda.dll %System%\msssmsda.exe
Также генерируется ключ в системном реестре:
"DllName" = "%System%\msssmsda.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Распространение
Данный вирус распространяется при помощи рассылки ICQ-сообщений.
Сообщения содержат текст «Try it», после которого следует ссылка:
http://***.cuhasefunjinksa.com/1/6696/
После открытия URL в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «flash.exe», являющийся последней модификацией семейства Warezov.
Деструктивная активность
Червь подгружает свой компонент под именем «%System%\msjidpmo.dll» в следующие процессы:
services.exe zlclient.exe iexplore.exe mpftray.exe svchost.exe outpost.exe firefox.exe ccapp.exe zapro.exe opera.exe tsmc.exe
Вирус отключает антивирусное программное обеспечение, установленное на компьютере, а также межсетевые экраны.
Червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов.
Рекомендации по удалению
Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данную вредоносную программу без обновления антивирусных баз.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Вручную удалить следующие файлы из системного каталога Windows:
%System%\msjidpmo.dll %System%\msssmsda.dll %System%\msssmsda.exe
- Удалить ключ реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msssmsda]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Stration@MM (McAfee) - W32/Strati-Gen (Sophos)
- Worm.
Stration. AEA-8 (ClamAV) - W32/Spamta.
XI. worm (Panda) - W32/EmailWorm.
KJA (FPROT) - Worm:
Win32/Stration. ST (MS(OneCare)) - Win32.
HLLM. Limar (DrWeb) - Win32/Stration.
ZD worm (Nod32) - Win32.
Warezov. 1@mm (BitDef7) - I-Worm.
Opnis. BVA (VirusBuster) - Win32:
Warezov-CMW [Wrm] (AVAST) - Win32.
Warezov (Ikarus) - I-Worm/Stration.
DBV (AVG) - WORM/Stration.
Gen (AVIRA) - W32.
Stration@mm (NAV) - W32/Stration.
FIV (Norman) - W32/Stration@MM (NAI)
- WORM_STRAT.
IP (PCCIL) - Worm.
Mail. Warezov. cj (Rising) - Email-Worm.
Win32. Warezov. mx [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - I-Worm.
Opnis. BVA (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей