Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Email-Worm.Win32.Warezov.sk

Email-Worm.Win32.Warezov.sk

Время детектирования	16 окт 2007 14:34 MSK
Время выпуска обновления	16 окт 2007 14:34 MSK
Описание опубликовано	25 окт 2007 20:25 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 124928 байт. Упакован с помощью UPX, распакованный размер — около 153 КБ.

Инсталляция

При запуске червь создает следуюшие файлы:

%System%\rasppowr.dll 
%System%\rasppowr.exe
%System%\rasppowr.z1    
%System%\rasppowr.dat

Также червь создает следующий ключ в системном реестре:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rasppowr]
"DllName" = "%System%\rasppowr.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000

Распространение

Данная вредоносная программа распространяется при помощи ICQ. Рассылаемые сообщения включают текст «Check this:» или «My party pics:», после которого следует ссылка на исполняемый файл последней модификации Warezov. После открытия данной ссылки в веб-браузере пользователю предлагается загрузить файл с именем «photo.pif». При запуске скачанного файла происходит инсталляция червя в систему.

Деструктивная активность

Червь отключает следующее антивирусное программное обеспечение и межсетевые экраны:

Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
McAfee.com Personal Firewall
Kerio WinRoute

Также червь обладает функцией загрузки с сайтов злоумышленника других вредоносных программ с последующим запуском скачанных файлов на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс червя (возможное имя процесса — «rasppowr.exe»).
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Удалить следующие файлы:

%System%\rasppowr.dll 
%System%\rasppowr.exe
%System%\rasppowr.z1    
%System%\rasppowr.dat

Удалить ключ системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rasppowr]

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Warezov.bw

Email-Worm.Win32.Warezov.do

Email-Worm.Win32.Warezov.et

Email-Worm.Win32.Warezov.ex

Email-Worm.Win32.Warezov.jv

Email-Worm.Win32.Warezov.jx

Email-Worm.Win32.Warezov.la

Email-Worm.Win32.Warezov.lb

Email-Worm.Win32.Warezov.lg

Email-Worm.Win32.Warezov.mo

Email-Worm.Win32.Warezov.mx

Email-Worm.Win32.Warezov.nd

Email-Worm.Win32.Warezov.nf

Email-Worm.Win32.Warezov.ns

Email-Worm.Win32.Warezov.nv

Email-Worm.Win32.Warezov.oa

Email-Worm.Win32.Warezov.oi

Email-Worm.Win32.Warezov.op

Email-Worm.Win32.Warezov.ov

Email-Worm.Win32.Warezov.oz

Email-Worm.Win32.Warezov.pb

Email-Worm.Win32.Warezov.qa

Email-Worm.Win32.Warezov.qy

Другие названия

Email-Worm.Win32.Warezov.sk («Лаборатория Касперского») также известен как:

Virus: W32/Stration.gen@MM (McAfee)
W32/Strati-Gen (Sophos)
W32/Spamta.QO.worm (Panda)
W32/KillAV.gen1 (FPROT)
Trojan:Win32/Stration.F!dll (MS(OneCare))
Win32.HLLM.Limar.2174 (DrWeb)
Win32/Stration.AAL worm (Nod32)
DeepScan:Generic.Stration.7D69E8BF (BitDef7)
Trojan.Opnis.Gen.39 (VirusBuster)
Win32:Warezov-CLA [Wrm] (AVAST)
Win32.Warezov (Ikarus)
I-Worm/Stration.IFB (AVG)
WORM/Stration.Gen (AVIRA)
W32.Stration.CX@mm (NAV)
W32/Stration.JXZ (Norman)
W32/Stration.gen@MM (NAI)
Possible_Strat-6 (PCCIL)
Worm.Mail.Warezov.ji (Rising)
Email-Worm.Win32.Warezov.sk [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.Opnis.Gen.39 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com