Email-Worm.VBS.Noverus

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.VBS.Noverus Почтовый червь, заражающий своим телом личные данные пользователя. Имеет размер 2 571 байт. Написан на Visual Basic Script.

Инсталляция

При активации червь копирует свое тело в следующие каталоги: 

C:\Windows\Rnapp.vbs
C:\Windows\System\System.vbs
C:\Windows\details.vbs
C:\Windows\главное меню\программы\автозагрузка\MsOffice-VBSScript.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Rundll" = "C:\Windows\Rnapp.vbs"
"System" = "C:\Windows\system\system.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rnapp" = "C:\Windows\System\System.vbs"
"internat" = "C:\Windows\Rnapp.vbs"

Деструктивная активность

На всех логических и сетевых дисках червь производит поиск файлов с расширениями: 

*.jpg
*.txt
*.vbs
*.doc
*.gif
*.mp3
*.mp2
*.mp4
*.avi
*.rar
*.zip

Все найденные файлы червь заражает своим телом. Червь рассылает свое тело по базе адресов программы "Outlook Express". Тема Письма: 

Тема залипухи

Тело письма: 

Залипуха

Во вложении: 

C:\Windows\details.vbs

Также червь рассылает с помощью программы "MS Outlook" по указанному email- адресу все файлы каталога Windows с расширение *.pwl. Далее червь создает файл: 

C:\Windows\Рабочий стол\Прочти.doc

В который записывает строку: 

I am Virus November 19.Your computer destroy!!!

Рекомендации по удалению

  1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Rundll" = "C:\Windows\Rnapp.vbs"
"System" = "C:\Windows\system\system.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rnapp" = "C:\Windows\System\System.vbs"
"internat" = "C:\Windows\Rnapp.vbs"
  4. Удалить файлы:
    5. C:\Windows\Rnapp.vbs
C:\Windows\System\System.vbs
C:\Windows\details.vbs
C:\Windows\главное меню\программы\автозагрузка\MsOffice-VBSScript.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.VBS.Noverus»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.