Email-Worm.MSWord.Cod

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.MSWord.Cod Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Является документом Microsoft Word. Имеет размер 90112 байт. Написан на VB Script.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\list.vbs
%WinDir%\list.vbs
%Temp%\list.vbs
%WinDir%\winsck.vbs
%System%\explorer.vbs
c:\windows\cod.cod

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry=%WinDir%\list.vbs

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“default”= %System%\list.vbs

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
“default”= %Temp%\list.vbs

Распространение по электронной почте

Поиск адресов для рассылки зараженных писем производится в адресной книге Windows. Тема рассылаемых писем содержит текст: 

Hey whats up, Important!

Тело рассылаемых писем содержит текст: 

Hey I attatched a list for you to this e-mail take a look at it and tell me what you think.

Файл вложение имеет следующее имя: 

pornlist.doc

Деструктивная активность

Копирует свое тело на все фиксированные и съемные диски а так же на доступные для записи сетевые папки со следующими именами: 

<буква диска>\pornlist.doc
<буква диска>\list.vbs

Изменяет содержимое системного файла настройки: 

%WinDir%\win.ini

добавляя в него следуюшие строки: 

[windows]
run=%WinDir%\winsck.vbs

Изменяет содержимое системного файла настройки: 

%WinDir%\system.ini

добавляя в него следуюшие строки: 

[boot]
shell=Explorer.exe explorer.vbs

Изменяет содержимое следующих конфигурационных файлов IRC клиентов Pirch и Mirc: 

c:\mirc\script.ini
C:\pirch98\pirch98.ini

таким образом, что бы при входе нового пользователя в канал ему отправлялся файл содержащий тело червя: 

c:\pornlist.doc

используя сервис DCC. При заражении нового компьютера червь отправляет письмо-уведомление на следующий адрес: 

ilikerolls@aol.com

Тема письма: 

I am screwed

Текст письма: 

I am infected with the crayon of doom virus!

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить значения ключасистемного реестра:
    3. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry=%WinDir%\list.vbs

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“default”= %System%\list.vbs

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
“default”= %Temp%\list.vbs
  3. Удалить файлы червя:
    4. %System%\list.vbs
%WinDir%\list.vbs
%Temp%\list.vbs
%WinDir%\winsck.vbs
%System%\explorer.vbs
c:\windows\cod.cod
  4. Удалить файлы:
    5. <буква диска>\pornlist.doc
<буква диска>\list.vbs
  5. Изменить строку:
    6. shell=Explorer.exe explorer.vbs

в файле: 

%WinDir%\system.ini

на следующую: 

shell=Explorer.exe
  1. Удалить строку:
    2. run=%WinDir%\winsck.vbs

в файле: 

%WinDir%\win.ini
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.MSWord.Cod»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.