RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.oi
| Время детектирования | 27 май 2007 15:53 MSK |
| Время выпуска обновления | 27 май 2007 15:53 MSK |
| Описание опубликовано | 30 май 2007 14:30 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 88826 байт. Упакован с помощью Upack, распакованный размер — около 237 КБ.
Инсталляция
При запуске червь создает следующие файлы:
%System%\dmimmsss.dll %System%\dmimmsss.exe
Также вирус создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dmimmsss] "DllName" = "%System%\dmimmsss.dll" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение
Вредоносная программа распространяется при помощи ICQ. Рассылаемые сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации Warezov.
После открытия данной ссылки в веб-браузере пользователю предлагается загрузить файл с именем «photo.pif». При запуске скачанного файла происходит инсталляция червя в систему.
Деструктивная активность
Червь подгружает свой компонент «%System%\dmimmsss.dll» в следующие процессы:
services.exe zlclient.exe iexplore.exe mpftray.exe svchost.exe outpost.exe firefox.exe ccapp.exe zapro.exe opera.exe smc.exe
Вирус отключает различное антивирусное программное обеспечение, установленное на компьютере (в том числе межсетевые экраны).
Также червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ с последующим запуском скачанных файлов на исполнение.
Рекомендации по удалению
Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данную вредоносную программу без обновления антивирусных баз.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Вручную удалить следующие файлы из системного каталога Windows:
%System%\dmimmsss.dll %System%\dmimmsss.exe
- Удалить ключ из системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dmimmsss]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Stration. gen@MM (McAfee) - W32/Strati-Gen (Sophos)
- Worm.
Stration-APR (ClamAV) - W32/Spamta.
YL. worm (Panda) - W32/Warezov.
gen4 (FPROT) - Trojan:
Win32/Stration. F!dll (MS(OneCare)) - Win32.
HLLM. Limar (DrWeb) - Win32/Stration.
ZR worm (Nod32) - Win32.
Warezov. 1@mm (BitDef7) - I-Worm.
Opnis. DFG (VirusBuster) - Win32:
Warezov-CPM [Wrm] (AVAST) - Win32.
Warezov (Ikarus) - I-Worm/Stration.
DMK (AVG) - WORM/Stration.
Gen (AVIRA) - W32.
Stration@mm (NAV) - W32/Stration.
LHQ (Norman) - WORM_STRATION.
JZ (PCCIL) - Worm.
Mail. Win32. Warezov. oi (Rising) - Email-Worm.
Win32. Warezov. oi [AVP] (FSecure) - WORM_STRATION.
JZ (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей