| Время детектирования | 10 июн 2009 02:21 MSK |
| Время выпуска обновления | 10 июн 2009 11:04 MSK |
| Описание опубликовано | 27 окт 2009 16:27 MSK |
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от размера зараженного файла. Написан на С++.
После запуска вредонос находит файл:
%Temp%\er.exeЗатем червь открывает файл:
Далее, если запускается зараженный "explorer.exe" – вредонос создает 3 потока, в которых выполняет следующие деструктивные действия:
readbook.exe qq.exe icesword.exe aspack.exe iris.exe iexplore.exe navapw32.exe navapsvc.exe nmain.exe navw32.exe kvfw.exe kavsvcui.exe kavpfw.exe kav32.exe kvxp.kvxp.kxp kvsrvxp.exe kvmonxp.kxp kvwsc.exe kavsvc.exe kwatchui.exe ravmond.exe ravmon.exe ravtimer.exe rising.exe rav.exe ravmon.exe ravtimer.exe iparmor.exe trojanhunter.exe thguard.exe< pfw.exe< eghost.exe mailmon.exe firefox.exe
После срабатывания первого перехватчика, червь выполняет заражение запускаемого файла. Червь не заражает файлы с именами:
readbook.exe qq.exe icesword.exe aspack.exe iris.exe iexplore.exe navapw32.exe navapsvc.exe nmain.exe navw32.exe kvfw.exe kavsvcui.exe kavpfw.exe kav32.exe kvxp.kvxp.kxp kvsrvxp.exe kvmonxp.kxp kvwsc.exe kavsvc.exe kwatchui.exe ravmond.exe ravmon.exe ravtimer.exe rising.exe rav.exe ravmon.exe ravtimer.exe iparmor.exe trojanhunter.exe thguard.exe pfw.exe eghost.exe mailmon.exe firefox.exe
Также, не заражает исполняемые файлы, которые находятся в каталогах "windows","winnt", "system", "system32", "dllcache".
После срабатывания второго перехватчика, червь пытается скачать по ссылке:
После успешной загрузки, вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
%WinDir%\explorer.exe
%Temp%\er.exeв каталог Windows и переименовать его в:
%WinDir%\explorer.exe
%Temp%\
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.