RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.oa
| Время детектирования | 01 июн 2007 16:43 MSK |
| Время выпуска обновления | 13 июн 2007 17:31 MSK |
| Описание опубликовано | 01 июн 2007 16:43 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус-червь, распространяющийся в виде вложений в электронные письма; во вложение помещается не копия червя, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.
Зараженные сообщения рассылаются по всем найденным на компьютере адресам электронной почты.
Программа является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется в пределах от 10 до 27 КБ.
Инсталляция
При запуске червь отображает на экране компьютера следующее сообщение:
Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «shdowsht.exe»:
И создает файл размером 114688 байт:
Также вредоносная программа генерирует следующий ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shdowsht] "DllName" = "%System%\shdowsht.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение посредством электронной почты
В целях поиска адресов будущих жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
Пример зараженного письма:
В качестве вложения червь рассылает свой компонент, обладающий функцией загрузки из сети Интернет других вредоносных программ. Файл-вложение имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Деструктивная активность
Действия основного модуля червя
Вредоносная программа имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Вирус производит поиск адресов электронной почты во всех файлах на жестком диске зараженного компьютера и отправляет их на сайт злоумышленника.
Действия рассылаемого компонента
Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из Интернета других файлов без ведома пользователя.
Рассылаемый вирусом компонент скачивает файл по следующей ссылке:
http://xuyhadesunkadwi.com/***32.exe
На момент создания описания по этому URL-адресу располагалась последняя версия исполняемого файла червя.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.
Рекомендации по удалению
Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Вручную удалить следующие файлы из системного каталога Windows:
- Удалить ключ из системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\shdowsht]
- Удалить все зараженные письма из всех почтовых папок.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
- Удалить ключ из системного реестра:
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Trojan:
Downloader-ABU (McAfee) - Mal/DelpDldr-D (Sophos)
- Heuristic.
WinPE-Statistical (Panda) - W32/Heuristic-DL3!Eldorado (FPROT)
- TrojanDownloader:
Win32/Small. gen!B (MS(OneCare)) - Trojan.
DownLoader. 56665 (DrWeb) - Win32/TrojanDownloader.
Dadobra. FX trojan (Nod32) - Trojan.
Downloader. Banload. NTW (BitDef7) - Packed/Upack!Dump (VirusBuster)
- Trojan-Downloader.
Win32. Banload (Ikarus) - Downloader.
Generic3. KSN (AVG) - TR/Dldr.
Delphi. Gen (AVIRA) - W32/DLoader.
AGQBO (Norman) - Trojan.
DL. Win32. Delf. bxr (Rising) - Email-Worm.
Win32. Warezov. oa [AVP] (FSecure) - Cryp_Xed-12 (TrendMicro)
- Packed/Upack!Dump (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей