Email-Worm.VBS.Junkboat.b
Материал из Total Malware Info
Email-Worm.VBS.Junkboat.b Червь, распространяющийся по каналам IRC. Является пакетным файлом командного интерпретатора (BAT-файлом). Имеет размер 5228 байт.
Инсталляция
При запуске червь копирует свой исполняемый файл под следующими именами:
C:\Windows\bun.bat C:\Windows\boygirl.bat C:\Windows\hooker.bat C:\Windows\win32.bat C:\bun.bat C:\Windows\system\sexXX09.EXE.bat
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "msg" = "C:\bun.bat"
Деструктивная активность
После этого вредонос пытается удалить следующие файлы:
C:\Programme\norton~1\s32integ.dll C:\Programme\f-prot95\fpwm32.dll C:\Programme\mcafee\scan.dat C:\tbavw95\tbscan.sig C:\tbav\tbav.dat C:\Programme\tbav\tbav.dat C:\Programme\avpersonal\antivir.vdf
Если на компьютере установлены IRC-клиенты Pirch98 или mIRC, тогда червь начинает свое распространение по каналам IRC. Для этого он модифицирует следующие скрипт-файлы:
C:\mirc\script.ini C:\mirc32\script.ini C:\progra~1\mirc\script.ini C:\progra~1\mirc32\script.ini C:\pirch98\events.ini
Таким образом, всем участникам чата, заходящим на каналы, в которых находится зараженный компьютер, рассылается файл:
C:\Windows\bun.bat
После этого червь создает и запускает на выполнение файл:
C:\Windows\system\donkey.vbs
Данный файл имеет размер 614 байт и детектируется антивирусом Касперского как Email-Worm.BAT.Baatezu. Затем вредонос изменяет файл:
С:\autoexec.bat
записав в него следующие строки:
000000000000000000000000 Hi!! This is a friendly massage that BAT\bun has Wormz into your comp!! Nothing has been changed in this system... by adious [rRlf] 00000000000000000000000000000 http:\\rrlf.de pause
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "msg" = "C:\bun.bat"
С:\autoexec.bat C:\bun.bat C:\Windows\bun.bat C:\Windows\boygirl.bat C:\Windows\hooker.bat C:\Windows\win32.bat C:\Windows\system\donkey.vbs C:\mirc\script.ini C:\mirc32\script.ini C:\progra~1\mirc\script.ini C:\progra~1\mirc32\script.ini C:\pirch98\events.ini C:\Windows\system\sexXX09.EXE.bat
