Email-Worm.VBS.Obi

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.VBS.Obi Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Программа является файлом сценария языка Visual Basic Script. Имеет размер 2 226 байт. Написан на Visual Basic Script.

Содержание

Инсталляция

После запуска червь копирует свое тело в системный каталог Windows (путь задан строго): 

C:\Windows\system\obi-one.jpg.vbs

Распространение через электронную почту

С целью поиска адресов жертв червь сканирует адресную книгу почтового клиента "MS Outlook". После чего организует цикл для рассылки своего тела по всем найденным адресам.

Характеристики зараженных писем

Тема письма: 

Starwars episode 2

Текст письма: 

preview it now exclusively !!!

Имя файла - вложения: В качестве файла-вложения червь рассылает свое тело: 

C:\Windows\system\obi-one.jpg.vbs

После отправки письма удаляются. Далее удаляется тело червя "C:\Windows\system\obi-one.jpg.vbs".

Деструктивная активность

Червь создает параметр реестра, в который зашифровывает в шестнадцатеричном свое тело: 

[HKLM]
"theforce" = "<тело червя>"

Далее червь извлекает из своего тела файл с системный каталог Windows: 

C:\Windows\system\winupdate.vbs (584 байта, детектируется Антивирусом Касперского, как Email-Worm.Win32.Alcaul.p)

Червь перехватывает на себя команды запуска scr-файлов, изменяя следующий параметр в ключе реестра: 

[HKCR\scrfile\shell\open\command]
"(default)" = "wscript.exe C:\Windows\system\winupdate.vbs"

Затем удаляется оригинальное тело червя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметр в ключе реестра (как работать с реестром?):
    3. [HKLM]
"theforce"
  3. Изменить значение параметра реестра:
    4. [HKCR\scrfile\shell\open\command]
"(default)" = ""%1" /S"
  4. Удалить файл:
    5. C:\Windows\system\winupdate.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.VBS.Obi»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.