Email-Worm.VBS.Mir
Материал из Total Malware Info
Email-Worm.VBS.Mir Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Программа является файлом сценария языка Visual Basic Script. Имеет размер 2 361 байт. Написан на Visual Basic Script.
Содержание |
Инсталляция
После запуска червь копирует свое тело во временный и корневой каталог Windows:
%Temp%\Mir.txt .vbe %WinDir%\winhelp.vbe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SysHelp / StartUp" = "%WinDir%\winhelp.vbe "
Распространение через электронную почту
С целью поиска адресов жертв червь сканирует адресную книгу почтового клиента "MS Outlook". После чего организует цикл для рассылки своего тела по всем найденным адресам. Также червь отправляет письмо на е-mail:
Mir_Counter@everymail.net
Характеристики зараженных писем
Тема письма:
No Mir Station on the Sky !
Текст письма:
r u ready? [Y/N] ;))
Имя файла - вложения: В качестве файла-вложения червь рассылает свое тело:
%Temp%\Mir.txt .vbe
После отправки письма удаляются.
Деструктивная активность
После отправки зараженных писем червь создает параметр в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion] "Mir" = "by GhostDog"
Червь создает файл dropper.com в следующих каталогах:
%Temp%\dropper.com С:\dropper.com
Файл "dropper.com" – вредоносных действий не выполняет. Далее червь заменят файл командного интерпретатора "с:\autoexec.bat" стройкой:
@dropper.com
Червь копирует на все логические и сетевые диски файлы "dropper.com" и "Mir.txt .vbe".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
- Произвести поиск и удаление всех файлов с именами"dropper.com" и "Mir.txt .vbe".
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SysHelp / StartUp" = "%WinDir%\winhelp.vbe " [HKLM\Software\Microsoft\Windows\CurrentVersion] "Mir" = "by GhostDog"
%Temp%\Mir.txt .vbe %WinDir%\winhelp.vbe %Temp%\dropper.com С:\dropper.com
