Email-Worm.JS.Xaron

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.JS.Xaron Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Имеет размер 4 097 байт. Тело вируса состоит из двух компонентов, первый из которых является файлом сценария языка Java Script, а второй — пакетным файлом командного интерпретатора.

Инсталляция

При запуске червь копирует свое тело в рабочий каталог под именем charon.js: 

%Work%\charon.js

Деструктивная активность

После запуска вирус создает файл «email.vbs» в рабочем каталоге, который будет рассылать письмо по базе адресов "MS Outlook" со случайно выбранной темой, телом письма и в аттаче тело вируса со случайно полученным именем: 

%Work%\email.vbs (размер зависит от конфигурации отправляемого письма, Детектируется Антивирусом Касперского, как Email-Worm.Tiltel.b)

После чего файл запускается на выполнение. Письмо содержит одну из следующих тем: 

Hi;
Hello!;
;-);
None;
FWD:.

В теле письма одно из следующих сообщений: 

A nice pic waits for opening;
<пусто>;
Hi! what's up with u? open this little photo of charon!!;
Do you know Charon? Here is it!;
Charon loves u! ;).

Во вложении случайным образом выбирается файл со следующим именем и с расширением .bat или .js: 

С:\lovely_mouse
С:\charon_meets_u
С:\Sexy_girl_on_charon
С:\charon
С:\hot_lickin

Затем осуществляется перенос содержимого файла «charon.js» (находящегося в рабочем каталоге %Work%) в файл командного интерпретатора «charon.bat», расположенный в корневом каталоге логического диска C:. После чего файлы с расширениями: 

*.bat
*.js
*.cmd

в каталоге Windows (%WinDir%) и файлы в переменной окружение (%Path%), вирус перезаписывает своим телом. Затем копирует свое тело в корневой каталог диска С: и запускает на выполнение: 

С:\charon.js

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Найти и удалить файлы с расширениями .bat или .js и со следующими именами:
    3. lovely_mouse
charon_meets_u
Sexy_girl_on_charon
charon
hot_lickin
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.JS.Xaron»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.