Email-Worm.Win32.Alcaul.t
Материал из Total Malware Info
Email-Worm.Win32.Alcaul.t Почтовый червь. Программа является исходным кодом на Visual Basic. Имеет размер 14 139 байт.
Инсталляция
Создает один из трех ключей реестра для автоматического запуска, при следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "b8" = "%System%\Ms0701i32.exe -alcopaulb8" "b8" = "%System%\Ms0701i32.exe -petikb8" "b8" = "%System%\Ms0701i32.exe -trojanmode"
Создает локальную копию редактора реестра, копируя файл "%WinDir%\regedit.exe" в "c:\regedit.exe". Далее закрывает окна следующих приложений:
Pop3trap JavaScan Modem Booster vettray Timer CD-Rom Monitor F-STOPW Version 5.06c PC-cillin 2000 : Virus Alert DAPDownloadManager Real-time Scan IOMON98 AVP Monitor NAI_VS_STAT
После чего копирует свое тело в файлы:
%WinDir%\Ms0701i32.exe %System%\lolita.exe
Деструктивная активность
В зависимости от содержимого зараженного файла выбирается одна из двух возможных функциональностей червя: 1. Если зараженный файл не оканчивается символами "b8": Читает с конца зараженного файла 63 488 байт, пишет их в файл "c:\piss.exe" и запускает его с параметрами:
c:\piss.exe c:\brigada8.zip %Work%\имя_файла_червя.exe
- Если был запущен с параметром "-petikb8":
Копирует свое тело в корневой каталог диска С:
c:\XXXview.exe
Отключает антивирусную защиту "MS Word", изменяя ключи реестра:
[HKCU\Software\Microsoft\Office\9.0\Word\Security] "Level" = 1 [HKCU\Software\Microsoft\Office\10.0\Word\Security] "Level" = 1 "AccessVBOM" = 1
Далее создает файл:
c:\n1.tmp (1 196 байт, детектируется Антивирусом Касперского, как Email-Worm.Win32.Alcaul.t)
который при закрытии любого документа "MS Word" создает файл:
c:\xp.exp (200 байт, детектируется Антивирусом Касперского, как Trojan.MSWord.Olerun)
и записывает его в документ, а также прикрепляет к документу файл "c:\XXXview.exe" и отключает антивирусную защиту "MS Word", изменяя ключи реестра:
[HKCU\Software\Microsoft\Office\9.0\Word\Security] "Level" = 1 [HKCU\Software\Microsoft\Office\10.0\Word\Security] "Level" = 1 "AccessVBOM" = 1
Далее червь создает файл:
%Startup%\startup.vbs (459 байт, детектируется Антивирусом Касперского, как Email-Worm.Win32.Alcaul.t)
который будет выполняться при каждом входе в систему, и записывать содержимое файла "c:\n1.tmp" в шаблон Normal.dot приложения "MS Word". Для всех ZIP-файлов, находящихся на диске C: выполняет команду:
c:\piss.exe ZIP-файл %SYSTEM%\lolita.exe
Если был запущен с параметром "-alcopaulb8":
Дописывает свое тело в конец всех EXE-файлов, находящихся в каталоге Windows и добавляет строку"b8".
Если был запущен с параметром "-trojanmode":
Завершает работу компьютера. Ищет во всех HTM и HTML-файлах папки %Temporary Internet Files% адреса электронной почты и рассылает на них через "MS Outlook" письмо: Тема:
check us out
Тело:
we exist to give everyone a smiley face... :)
Во вложении:
c:\brigada8.zip
2. Если зараженный файл оканчивается символами "b8": Читает с конца зараженного файла 75 264 байта в файл "%Work%\XxX.exe", запускает, ждет завершения работы и удаляет его.
Скачивает файл со следующего URL:
http://p0th0l******od.com/a.exe (на момент создания описания ссылка не работает)
сохраняет его как
c:\update.exe
После чего червь запускает файл на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Установить в приложении "MS Word" высокую степень защиты от макровирусов.
- Удалить значения следующих ключей реестра:
- Удалить все макросы из шаблона Normal.dot и зараженных документов.
%WinDir%\Ms0701i32.exe %System%\lolita.exe c:\XXXview.exe c:\regedit.exe c:\piss.exe c:\brigada8.zip c:\n1.tmp c:\xp.exp %Startup%\startup.vbs %Work%\XxX.exe c:\update.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "b8" = "%System%\Ms0701i32.exe -alcopaulb8" "b8" = "%System%\Ms0701i32.exe -petikb8" "b8" = "%System%\Ms0701i32.exe -trojanmode"
