Email-Worm.VBS.Randa

Материал из Total Malware Info

Email-Worm.VBS.Randa Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Имеет размер 2 126 байт. Написан на Visual Basic Script.

Инсталляция

При активации червь копирует свое тело в системный каталог Windows:

%System%\name_of_worm.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"value_worm" = "%System%\name_of_worm.vbs"

Деструктивная активность

Почтовый червь производит рекурсивный поиск всех файлов с расширением:

*.vbs

После чего в начало найденных файлов записывает свое тело. Далее червь организует цикл для рассылки своего тела по всем найденным адресам адресной книги "MS Outlook". Письмо следующего содержания: Тема письма:

Subject...

Тело письма:

Body of the worm...

Во вложении:

%System%\name_of_worm.vbs

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить параметр в ключе реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"value_worm" = "%System%\name_of_worm.vbs"

3. Удалить файл:

%System%\name_of_worm.vbs