Email-Worm.Win32.Warezov.op

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.

Зараженные послания рассылаются по всем найденным на компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Размер его компонентов варьируется от 14 до 135 КБ. Упакован с помощью Upack.

Инсталляция

При запуске вирус отображает на экране компьютера следующее окно:

Затем копирует свой исполняемый файл в системный каталог Windows под именем «dnsajobe.exe»:

%System%\dnsajobe.exe

Создает следующий файл размером 98304 байта:

%System%\dnsajobe.dll

Также червь создает ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dnsajobe]
"DllName" = "%System%\dnsajobe.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресные книги MS Windows.

При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.

Пример зараженного письма:

В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:

Update-KB<случайное четырехзначное число>-x86.exe

Деструктивная активность

Действия основного модуля червя

Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.

Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.

Вирус производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.

Действия рассылаемого по почте компонента

Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.

Рассылаемый червем компонент скачивает файл по следующей ссылке:

http://badstunjinfendaslions.com/****32.exe

На момент создания описания здесь располагалась последняя версия исполняемого файла червя.

Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить следующий ключ системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dnsajobe]

4. Вручную удалить следующие файлы из системного каталога Windows:

   %System%\dnsajobe.dll
   %System%\dnsajobe.exe

5. Удалить все зараженные письма из всех почтовых папок.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).