Email-Worm.VBS.Flames.a
Материал из Total Malware Info
Email-Worm.VBS.Flames.a Почтовый червь, выполняющий рассылку писем с зараженными вложениями через сеть Интернет, а также заражающий файлы с расширениями "jpg", "html", "mpg", "htm", "doc", "avi", "vbs", "vbe". Является файлом сценария языка Visual Basic Script. Имеет размер 19250 байт.
Инсталляция
При запуске червь копирует свой исполняемый файл под следующими именами:
%WinDir%\In Flames - Moonshield.mp3.vbs %WinDir%\qn_rules.vbs
при этом данным файлам убираются все атрибуты. Также червь копирует свое тело в файл:
%WinDir%\inflames.vbs
и устанавливает этому файлу атрибут "Скрытый". Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Metal" = "Wscript.exe %WinDir%\inflames.vbs %1"
Деструктивная активность
Если на компьютере установлено приложение MS Outlook, червь начинает рассылку зараженного письма на все контакты, найденные в адресной книге. Рассылаемое письмо имеет следующий вид: Тема письма:
Re: MP3
Текст письма:
Hier das neuste Lied von In Flames!
Вложенный файл:
%WinDir%\In Flames - Moonshield.mp3.vbs
Далее червь выполняет поиск каталогов:
%ProgramFiles%\KaZaA Lite\My Shared Folder %ProgramFiles%\Kazaa\My Shared Folder %ProgramFiles%\KaZaA Lite\My Shared Folder %ProgramFiles%\Bearshare\Shared %ProgramFiles%\Edonkey2000 %ProgramFiles%\Morpheus\My Shared Folder %ProgramFiles%\Grokster\My Grokster %ProgramFiles%\ICQ\Shared Files C:\Kazaa\My Shared Folder C:\My Downloads
В том случае, если искомый каталог существует - червь записывает в него копию своего тела с именем "crack.vbs", при этом все атрибуты у данного файла сбрасываются. Если на компьютере пользователя установлено приложение mIRC, червь также начинает свое распространение по IRC-каналам. Для этого он выполняет поиск каталога, в котором находится конфигурационный файл IRC-клиента "Mirc.ini". При нахождении данного файла, червь создает в том же каталоге скрипт-файл "Script.ini". В этот файл червь сохраняет скрипт, при помощи которого, всем входящим на канал участникам чата рассылаются копии тела червя, и выдается сообщение:
Please read!
После этого червь начинает отсылать по сети пакеты размером 1000 байт на web-адрес:
www.chatworld.de
Также червь производит поиск, на всех локальных и сетевых дисках, файлов с расширениями "jpg", "html", "mpg". "htm", "doc" и "avi". Содержимое найденных файлов червь перезаписывает своим телом и добавляет к названию зараженного файла расширение "vbs". Затем червь ищет на всех локальных и сетевых дисках файлы с расширениями "vbs" и "vbe". Если найденные файлы еще не были заражены, тогда червь дописывает в них свое зашифрованное тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
- Удалить копию червя с именем "crack.vbs" из следующих каталогов (при их наличии):
- Удалить файл "Script.ini" из каталога с установленным клиентом mIRC.
- Переустановить приложение mIRC.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Metal" = "Wscript.exe %WinDir%\inflames.vbs %1"
%WinDir%\In Flames - Moonshield.mp3.vbs %WinDir%\qn_rules.vbs %WinDir%\inflames.vbs
%ProgramFiles%\KaZaA Lite\My Shared Folder %ProgramFiles%\Kazaa\My Shared Folder %ProgramFiles%\KaZaA Lite\My Shared Folder %ProgramFiles%\Bearshare\Shared %ProgramFiles%\Edonkey2000 %ProgramFiles%\Morpheus\My Shared Folder %ProgramFiles%\Grokster\My Grokster %ProgramFiles%\ICQ\Shared Files C:\Kazaa\My Shared Folder C:\My Downloads
