Email-Worm.Win32.AcidShuz.a

Материал из Total Malware Info

Email-Worm.Win32.AcidShuz.a Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 49152 байт.

Содержание 1 Инсталляция 2 Распространение через email 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

%WinDir%\System32\lgm.exe

а так же в свою рабочую папку с именем “SysManage.exe”. Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Lgm=%WinDir%\System32\lgm.exe

Распространение через email

Адреса для отправки писем червь берет из адресной книги Windows а так же на веб страницах, которые пользователь открывает в программе Internet Explorer. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Письма отсылаются только на адреса содержащие строки:

.com
.edu
.net
.org

поле “Тема” инфицированных писем содержит следующий текст:

Subject: Love Can not Be Forgotten

в поле “от” письма содержат текст:

From: Feng Suzhong

имя вложения, содержащее исполняемый файл червя следующее:

LoveMe.exe

тело письма пустое. Перед отправкой писем червь кеширует тело письма в файле с именем

outputt.txt

который располагается в рабочей папке с исполняемым файлом червя.

Деструктивная активность

Червь следит за посещаемыми пользователем сайтами в Internet Explorer и отправляет список их адресов в отчете на адрес hmlu_2000@yahoo.com.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Lgm=%WinDir%\System32\lgm.exe

4. Удалить файлы:

%WinDir%\System32\lgm.exe
%WinDir%\System32\outputt.txt