Email-Worm.VBS.Pahi.c
Материал из Total Malware Info
Email-Worm_VBS_Pahi.c Почтовый червь. Имеет размер 1 354 байта. Написан на Visual Basic Script.
Инсталляция
При запуске червь копирует свое тело в следующие каталоги:
C:\Windows\Бюллютень.vbs A:\Совершенно секретно!!!.vbs C:\Windows\главное меню\программы\автозагрузка\MsOffice-VBSScript.vbs C:\Мои документы\Совершенно секретно!!.vbs
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Reget2" = "C:\Windows\Бюллютень.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Conect" = "C:\WINDOWS\Бюллютень.vbs"
Деструктивная активность
Червь рассылает свое тело по базе адресов программы "Outlook Express". Тема Письма:
Тема залипухи
Тело письма:
Залипуха
Во вложении:
<тело_червя>
Также червь рассылает с помощью программы "MS Outlook" по указанному email- адресу все файлы каталога Windows с расширение *.pwl.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Reget2" = "C:\Windows\Бюллютень.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Conect" = "C:\WINDOWS\Бюллютень.vbs"
C:\Windows\Бюллютень.vbs A:\Совершенно секретно!!!.vbs C:\Windows\главное меню\программы\автозагрузка\MsOffice-VBSScript.vbs C:\Мои документы\Совершенно секретно!!.vbs
