Email-Worm.Win32.Warezov.ns

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся в виде вложений в электронные письма; во вложение помещается не копия червя, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные сообщения рассылаются по всем найденным на компьютере адресам электронной почты.

Программа является приложением Windows (PE EXE-файл). Упакована при помощи Upack. Размер ее компонентов варьируется в пределах от 14 до 98 КБ.

Инсталляция

При запуске червь отображает на экране компьютера следующее сообщение:

Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «xvidusrc.exe»:

%System%\xvidusrc.exe

И создает файл размером 98304 байта:

%System%\xvidusrc.dll

Также вредоносная программа генерирует следующий ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xvidusrc]
"DllName" = "%System%\xvidusrc.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение посредством электронной почты

В целях поиска адресов будущих жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Пример зараженного письма:

В качестве вложения червь рассылает свой компонент, обладающий функцией загрузки из сети Интернет других вредоносных программ. Файл-вложение имеет имя вида:

Update-KB<случайное четырехзначное число>-x86.exe

Деструктивная активность

Действия основного модуля червя

Вредоносная программа имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Действия рассылаемого компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из Интернета других файлов без ведома пользователя.

Рассылаемый вирусом компонент скачивает файл по следующей ссылке:

http://hertunjinkdesinl.com/***32.exe

На момент создания описания по этому URL-адресу располагалась последняя версия исполняемого файла червя.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.

Рекомендации по удалению

Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Вручную удалить следующие файлы из системного каталога Windows:

   %System%\xvidusrc.dll
   %System%\xvidusrc.exe

4. Удалить ключ из системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hotpmsta]

5. Удалить все зараженные письма из всех почтовых папок.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).