Email-Worm.VBS.Saywa

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.VBS.Saywa

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Является скриптом Visual Basic Script. Имеет размер 1 212 байт.

Деструктивная активность

При запуске червь копирует свое тело во временный каталог под именем: 

%Temp%\saywhatnow.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свою копию в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"sywhatnow"="%Temp%\saywhatnow.vbs"

Далее при помощи "MS Outlook" червь рассылает свое тело на первые пять адресов из адресной книги. Заголовок письма: 

"Wassssssup"

Тело письма: 

"How u been long time no see!
Don't be a strange and drop me a line sometime soon.
K Thanks...

Cya Soon!"

В качестве вложения к письму прикрепляется оригинальный файл червя. После отсылки копия отправленного письма удаляется.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл:
    3. %Temp%\saywhatnow.vbs
  3. Удалить ключ системного реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"sywhatnow"="%Temp%\saywhatnow.vbs"
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.VBS.Saywa»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.