Email-Worm.VBS.Evol

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.VBS.Evol Почтовый червь, выполняющий рассылку писем с зараженными вложениями через сеть Интернет. Является файлом сценария языка Visual Basic Script. Имеет размер 3844 байт.

Инсталляция

При запуске червь копирует свой исполняемый файл под следующими именами: 

%WinDir%\OOBHCDGC.VBS
%System%\CAIXDVRP.VBS
%Temp%\BPDNQLVR.VBS

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Cursor" = "%WinDir%\wscript.exe %WinDir%\OOBHCDGC.VBS"

Деструктивная активность

После этого вредонос создает файл: 

С:\autorun.inf

Данный файл содержит команду, автоматически запускающую вирус при обращении к диску C: через проводник Windows после перезагрузки системы. Если на компьютере установлено приложение MS Outlook, червь начинает рассылку зараженного письма на все контакты, найденные в адресной книге. Рассылаемое письмо имеет следующий вид: Тема письма: 

insert subject here

Текст письма: 

insert body here

Вложенный файл: 

оригинальное тело червя

Если на момент запуска вредоноса было 5 число любого месяца,тогда червь принудительно закрывает все программы и выполняет перезагрузку компьютера. Затем червь создает файл: 

%WinDir%\hell.htm

Данный файл имеет размер 4100 байт и детектируется антивирусом Касперского как Email-Worm.VBS.LoveLetter.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Cursor" = "%WinDir%\wscript.exe %WinDir%\OOBHCDGC.VBS"
  3. Удалить файлы:
    4. С:\autorun.inf
%WinDir%\OOBHCDGC.VBS
%WinDir%\hell.htm
%System%\CAIXDVRP.VBS
%Temp%\BPDNQLVR.VBS
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.VBS.Evol»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.