Email-Worm.JS.Sigbug.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.JS.Sigbug.b Почтовый червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Представляет собой HTML страницу со встроенным вредоносным JS скриптом. Имеет размер 1864 байта.

Деструктивная активность

После открытия зараженной страницы, при использовании Active X объектов "Scripting.FileSystemObject", "WScript.Shell", "Outlook Data Object", червь начинает выполнение вредоносного скрипта. Червь создает HTML страницу, в которой частично сохраняет свой вредоносный код: 

C:\RECYCLED\BRA.HTM

Затем вредонос создает следующие ключи в системном реестре: 

[HKCU\Identities\{сгенерированный_номер}\Software\Microsoft\Outlook Express\5.0\Signatures]
"Default Signature"="00000000"

[HKCU\Identities\{сгенерированный_номер}\Software\Microsoft\Outlook Express\5.0\signatures\Default Signature\00000000]
"name"= "Signature #1"
"type"=dword:00000002
"text"=" "
"file" = "C:\RECYCLED\BRA.HTM"
"Signature Flags"=dword:00000003

Таким образом, вредонос заменяет стандартную подпись в письмах, отправляемых при помощи приложении Outlook Express, на HTML файл, содержащий тело червя. После этого червь выполняет рассылку зараженных писем на все адреса, указанных в адресной книге пользователя. Рассылаемые письма имеют следующий вид: Тема письма: "Bra Cup" Телом письма является зараженная HTML страница, содержащая вредоносный скрипт червя. После выполнения рассылки письмо удаляется из списка "Отправленных" писем, а также в системном реестре создается следующий ключ: 

[HKCU\Software\JS.Bra]
"Mailed" = "Kiss"

В завершении червь проверяет текущую дату, и в том случае если дата -18 мая, вредонос провоцирует системный сбой, отключая при этом графический интерфейс пользователя в ОС Win9x.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключ реестра:
    3. [HKCU\Software\JS.Bra]
"Mailed" = "Kiss"
  3. Удалить следующие параметры в ключах реестра:
    4. [HKCU\Identities\{сгенерированный_номер}\Software\Microsoft\Outlook Express\5.0\Signatures]
"Default Signature"="00000000"

[HKCU\Identities\{сгенерированный_номер}\Software\Microsoft\Outlook Express\5.0\signatures\Default Signature\00000000]
"name"= "Signature #1"
"type"=dword:00000002
"text"=" "
"file" = "C:\RECYCLED\BRA.HTM"
"Signature Flags"=dword:00000003
  4. Удалить файл:
    5. C:\RECYCLED\BRA.HTM
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.JS.Sigbug.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.