Email-Worm.VBS.Dumb
Материал из Total Malware Info
Email-Worm.VBS.Dumb Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Имеет размер 1 564 байт. Написан на Visual Basic Script.
Инсталляция
При запуске червь копирует свое тело в системный каталог Windows :
%System%\XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Dumbass" = "XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
Деструктивная активность
Червь рассылает свое тело по базе адресов почтового клиента MS Outlook. Письмо следующего содержания: Тема письма:
This is a Worm
Тело письма:
Make sure to be a dumbass and open this, the sender was.
Во вложении:
<тело_червя>
Далее червь изменяет файл настроек IRC – клиента "Mirc" script.ini, таким образом что всем пользователям при подключении к каналу, где находится зараженный компьютер отправляется тело червя:
%System%\XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файл:
- В файле настроек IRC-клиента "Mirc" script.ini удалить строку:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Dumbass" = "XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
%System%\XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
n0=ON 1:JOIN:#:/dcc send $nick " & Sys & "\XXXPICS.(Worm).txt.jpg.exe.com.gif.vbe.js.vbs
