Email-Worm.VBS.LoveLetter.cn
Материал из Total Malware Info
Email-Worm.VBS.LoveLetter.cn Троянская программа-почтовый червь, выполняющая рассылку своего тела. Написана на Visual Basic Script. Имеет размер 17265 байт.
Инсталляция
При запуске червь производит копирование своего тела в файлы:
%WinDir%\JENNIFERLOPEZ_NAKED.JPG.vbs
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "WORM" = "wscript.exe %WinDir%\JENNIFERLOPEZ_NAKED.JPG.vbs"
Вспомогательные ключи реестра (невредоносные следы червя в системе):
[HKCU\software\JENNIFFERLOPEZ_NAKED\] "@" = "Made in algeria" "mailed" = 1
Деструктивная активность
Распаковывает и запускает файл %WinDir%\Cih_14.exe (4608 байт, Virus.Win9x.CIH). Рассылает при помощи MS Outlook по его базе адресов письмо Тема: Where are you? Тело: This is my pic in the beach! Во вложении файл:
%WinDir%\JENNIFERLOPEZ_NAKED.JPG.vbs
Далее червь запускает поиск файлов на жестких и сетевых дисках. Файлы с расширениями "vbs", "vbe" перезаписывает своим телом. Файлы с расширениями "js", "jse", "css", "wsh", "sct", "hta", "jpg", "jpeg" удаляет, а на их месте под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело. Рядом с файлами с расширениями "mp3", "mp2" под тем же именем но с расширением "vbs" создает файл и копирует в него свое тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), а также файлы:
%WinDir%\JENNIFERLOPEZ_NAKED.JPG.vbs %WinDir%\Cih_14.exe
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\] "WORM" = "wscript.exe %WinDir%\JENNIFERLOPEZ_NAKED.JPG.vbs" [HKCU\software\JENNIFFERLOPEZ_NAKED\] "@" = "Made in algeria" "mailed" = 1
