RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Warezov.qy
| Время детектирования | 29 авг 2007 12:45 MSK |
| Время выпуска обновления | 29 авг 2007 12:45 MSK |
| Описание опубликовано | 05 сен 2007 17:40 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 123392 байта. Упакован с помощью UPX, распакованный размер — около 150 КБ.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows под именем «w32tcomr.exe»:
%System%\w32tcomr.exe
Создает следующий файл размером 110592 байта:
%System%\w32tcomr.dll
Также червь создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\w32tcomr.exe] "DllName" = "%System%\w32tcomr.exe" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение через электронную почту
С целью поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем он использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Тема письма
Mail sever report.
Текст письма
Do not reply to this message
Dear Customer,
Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have patches at the moment.
We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction.
Customer support center robot
Имя файла-вложения
В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Червь производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.
Рассылаемый червем компонент скачивает самую последнюю версию данного червя из сети Интернет по заложенной в него ссылке.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\w32tcomr]
- Удалить файлы:
%System%\w32tcomr.exe %System%\w32tcomr.dll
- Удалить все зараженные письма из всех почтовых папок.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Stration@MM (McAfee) - Mal/EncPk-BW (Sophos)
- W32/Spamta.
gen. worm (Panda) - W32/Warezov.
AKD (FPROT) - TrojanDownloader:
Win32/Stration. gen!F (MS(OneCare)) - Win32.
HLLM. Limar. 2168 (DrWeb) - Win32/Stration.
XJ worm (Nod32) - Win32.
Worm. Stration. XKR (BitDef7) - Win32:
Driller (AVAST) - Backdoor.
Rbot (Ikarus) - I-Worm/Stration (AVG)
- TR/Crypt.
UPKM. Gen (AVIRA) - W32.
Stration@mm (NAV) - W32/Suspicious_U.
gen (Norman) - Worm.
Mail. Warezov. cj (Rising) - Email-Worm:
W32/Warezov. PT [Orion] (FSecure) - Mal_Strat-4 (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей