Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.Warezov.nv

Email-Worm.Win32.Warezov.nv

Время детектирования	17 май 2007 14:40 MSK
Время выпуска обновления	17 май 2007 14:40 MSK
Описание опубликовано	22 май 2007 15:49 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 40960 байт.

Инсталляция

При запуске червь создает следующие файлы:

%System%\dnsamqut.dll
%System%\sdhccard.dll

Также вирус изменяет значение ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs = "dnsamqut.dll sdhccard.dll"

Распространение

Программа распространяется при помощи рассылки ICQ-сообщений. Сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации Warezov.

После открытия данной ссылки в веб-браузере пользователю предлагается загрузить файл с именем «archive.exe», при запуске которого происходит инсталляция червя в систему.

Деструктивная активность

Вирус подгружает свой компонент «%System%\dnsamqut.dll» в следующие системные процессы:

services.exe
zlclient.exe
iexplore.exe
mpftray.exe
svchost.exe
outpost.exe
firefox.exe
ccapp.exe
zapro.exe
opera.exe
smc.exe

Червь отключает различное антивирусное программное обеспечение, установленное на компьютере (включая межсетевые экраны).

Также данный вирус обладает функцией загрузки с сайтов злоумышленника других вредоносных программ с последующим запуском скачанных файлов на исполнение.

Рекомендации по удалению

Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данную вредоносную программу без обновления антивирусных баз.

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Вручную удалить следующие файлы из системного каталога Windows:
```
%System%\dnsamqut.dll
%System%\sdhccard.dll
```

Удалить параметр из ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs = "dnsamqut.dll sdhccard.dll"

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Warezov.bw

Email-Worm.Win32.Warezov.do

Email-Worm.Win32.Warezov.et

Email-Worm.Win32.Warezov.ex

Email-Worm.Win32.Warezov.jv

Email-Worm.Win32.Warezov.jx

Email-Worm.Win32.Warezov.la

Email-Worm.Win32.Warezov.lb

Email-Worm.Win32.Warezov.lg

Email-Worm.Win32.Warezov.mo

Email-Worm.Win32.Warezov.mx

Email-Worm.Win32.Warezov.nd

Email-Worm.Win32.Warezov.nf

Email-Worm.Win32.Warezov.ns

Email-Worm.Win32.Warezov.oa

Email-Worm.Win32.Warezov.oi

Email-Worm.Win32.Warezov.op

Email-Worm.Win32.Warezov.ov

Email-Worm.Win32.Warezov.oz

Email-Worm.Win32.Warezov.pb

Email-Worm.Win32.Warezov.qa

Email-Worm.Win32.Warezov.qy

Email-Worm.Win32.Warezov.sk

Другие названия

Email-Worm.Win32.Warezov.nv («Лаборатория Касперского») также известен как:

Mal/Generic-A (Sophos)
Worm.Stration.AID (ClamAV)
W32/Spamta.QO.worm (Panda)
W32/EmailWorm.JWZ (FPROT)
Trojan:Win32/Stration.F!dll (MS(OneCare))
Win32.HLLM.Limar (DrWeb)
Win32/Stration.ZI (Nod32)
Win32.Worm.Stration.FO (BitDef7)
Worm.Warezov.CW (VirusBuster)
Win32:Warezov-CAU (AVAST)
Email-Worm.Win32.Warezov.mg (Ikarus)
I-Worm/Stration.DGX (AVG)
WORM/Stration.BL.3 (AVIRA)
W32.Stration@mm (NAV)
W32/Stration@MM (NAI)
WORM_STRAT.GEN-3 (PCCIL)
Worm.Mail.Warezov.afi (Rising)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com