Email-Worm.Win32.Alcaul.g

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Alcaul.g Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Является приложением Windows (PE-EXE файл). Имеет размер 7 168 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\janis.com
%System%\sex.com

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
*JanisRuckenbrodII=%WinDir%\janis.com

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
*JanisRuckenbrodII=%WinDir%\janis.com

Так же изменяет значения следующих ключей реестра, для того что бы исполняемый файл червя запускался при открытии файлов некоторых типов: 

[HKCR\scrfile\shell\open\command]
@=”%System%\sex.com”

[HKCR\vbsfile\shell\open\command]
@=”%System%\sex.com”

[HKCR\htmlfile\shell\open\command]
@=”%System%\sex.com”

[HKCR\htmlfile\shell\opennew\command]
@=”%System%\sex.com”

[HKCR\httpfile\shell\open\command]
@=”%System%\sex.com”

[HKCR\mp3file\shell\open\command]
@=”%System%\sex.com”

[HKCR\mpegfile\shell\open\command]
@=”%System%\sex.com”

[HKCR\JSfile\shell\open\command]
@=”%System%\sex.com”

Деструктивная активность

При запуске отображает следующее сообщение:

Файл:Picture: 1.png

Завершает процессы, окна которых содержат строки в заголовке: 

AVP Monitor
F-STOPW Version 5.06c

или следующие строки как имена класса: 

vettray
NAI_VS_STAT

Рассылает свой исполняемый файл во вложениях писем электронной почты. Зараженные письма имеют следующий текст в поле “Тема”: 

Are You Horny?

и следующий текст в теле письма: 

Visit www.sex.com... We want you to be sexually satisfied... Included is a redirection software for security..

файл вложение имеет имя sex.com. Письма рассылаются с использованием COM объекта Outlook.Application. Поиск адресов для рассылки писем ведется в адресных книгах Windows.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
*JanisRuckenbrodII=%WinDir%\janis.com

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
*JanisRuckenbrodII=%WinDir%\janis.com
  4. Удалить файлы:
    5. %WinDir%\janis.com
%System%\sex.com
  5. Восстановить ассоциации программ с типами файлов.
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Alcaul.g»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.