Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.Warezov.nd

Email-Worm.Win32.Warezov.nd

Время детектирования	19 апр 2007 16:13 MSK
Время выпуска обновления	15 май 2007 12:31 MSK
Описание опубликовано	19 апр 2007 16:13 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 90304 байта. Упакован с помощью Upack, распакованный размер — около 237 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

%System%\shfoxpob.dat
%System%\shfoxpob.exe
%System%\shfoxpob.dll

Также вирус генерирует ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shfoxpob]
"DllName" = "%System%\shfoxpob.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение

Данный червь распространяется при помощи рассылки ICQ-сообщений.

Сообщения включают текст «Check this::», после которого следует URL:

http://******adfesunkawunsa.com/1/853/

После открытия данной ссылки в веб-браузере пользователю предлагается скачать и запустить на исполнение файл с именем «archive.exe», являющийся последней модификацией данного семейства червей.

Деструктивная активность

Вирус отключает различное антивирусное программное обеспечение, установленное на компьютере (в том числе межсетевые экраны).

Также червь имеет функцию загрузки с сайтов злоумышленника других вредоносных программ и последующего запуска скачанных файлов на исполнение.

Рекомендации по удалению

Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данную вредоносную программу без обновления антивирусных баз.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Вручную удалить следующие файлы из системного каталога Windows:
```
%System%\shfoxpob.dat
%System%\shfoxpob.exe
%System%\shfoxpob.dll
```

Удалить следующий ключ реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shfoxpob]

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Warezov.bw

Email-Worm.Win32.Warezov.do

Email-Worm.Win32.Warezov.et

Email-Worm.Win32.Warezov.ex

Email-Worm.Win32.Warezov.jv

Email-Worm.Win32.Warezov.jx

Email-Worm.Win32.Warezov.la

Email-Worm.Win32.Warezov.lb

Email-Worm.Win32.Warezov.lg

Email-Worm.Win32.Warezov.mo

Email-Worm.Win32.Warezov.mx

Email-Worm.Win32.Warezov.nf

Email-Worm.Win32.Warezov.ns

Email-Worm.Win32.Warezov.nv

Email-Worm.Win32.Warezov.oa

Email-Worm.Win32.Warezov.oi

Email-Worm.Win32.Warezov.op

Email-Worm.Win32.Warezov.ov

Email-Worm.Win32.Warezov.oz

Email-Worm.Win32.Warezov.pb

Email-Worm.Win32.Warezov.qa

Email-Worm.Win32.Warezov.qy

Email-Worm.Win32.Warezov.sk

Другие названия

Email-Worm.Win32.Warezov.nd («Лаборатория Касперского») также известен как:

W32/Strati-Gen (Sophos)
Worm.Stration.ACJ-4 (ClamAV)
W32/Spamta.WA.worm (Panda)
W32/Warezov.gen4 (FPROT)
Win32.HLLM.Limar (DrWeb)
Win32/Stration.YQ worm (Nod32)
Win32.Warezov.XJ@mm (BitDef7)
Win32:Warezov-CRX [Wrm] (AVAST)
Win32.Warezov (Ikarus)
I-Worm/Stration.CWW (AVG)
WORM/Stration.Gen (AVIRA)
W32.Stration@mm (NAV)
W32/Stration.IVZ (Norman)
Email-Worm.Win32.Warezov.nd [AVP] (FSecure)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com