Email-Worm.VBS.Goma
Материал из Total Malware Info
Email-Worm.VBS.Goma Почтовый червь, выполняющий рассылку зараженных писем через Интернет. Имеет размер 1 837 байт. Написан на языке Visual Basic Script (VBS)
Инсталляция
После запуска червь копирует свой исполняемый файл в системный каталог Windows с именем:
%System%\Goma.vbs
Для автоматического запуска при следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "GOMA" = "%System%\Goma.vbs "
Деструктивная активность
Затем червь выполняет копирование своего тела в корневой каталог всех доступных сетевых дисков с именем "Goma.vbs". Если в разделе системного реестра "[HKLM]" параметру "GOMA" не присвоено значение, тогда червь начинает рассылку зараженного письма на все контакты, найденные в адресной книге пользователя. Рассылка осуществляется при помощи приложении MS Outlook. Зараженное письмо имеет вид: Тема сообщения:"Goma" Текст сообщения:"Goma para sempre !!!!" Вложенный файл:
оригинальный файл почтового червя
После отправки зараженных писем, червь удаляет себя из списка "Отправленных". Затем червь добавляет ключ в системный реестр:
[HKLM] "GOMA" = "1"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файл:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "GOMA" = "%System%\Goma.vbs " [HKLM] "GOMA" = "1"
%System%\Goma.vbs
