Email-Worm.Win32.Beloy.a
Материал из Total Malware Info
Email-Worm.Win32.Beloy.a Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 144896 байт. Упакован неизвестным упаковщиком, распакованный размер 85 к.б.
Инсталляция
Копирует свой исполняемый файл как:
%System%\msnmsgr.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Version3={7D5A7DDF-FA7A-4DA0-8348-A5E7EE0499C0}
Создает ключ реестра:
[HKCR\CLSID\{7D5A7DDF-FA7A-4DA0-8348-A5E7EE0499C0}\InProcServer32]
“default”=”syslinks2.dll”
Извлекает из своего тела файл:
%System%\syslinks2.dll
Данный файл имеет размер 88000 байта и детектируется Антивирусом Касперского как Email-Worm.Win32.Beloy.a Распространение через email Поиск адресов электронной почты для рассылки писем ведется во всех файлах на всех разделах жесткого диска компьютера. Червь ищет на жестком диске файлы со следующими расширениями:
.txt .htm .shtl .jsp .cgi .xml .php .asp .dbx .tbb .adb .pl .html .wab
и извлекает из них адреса электронной почты, за исключением тех, которые содержат следующие строки:
avp syma icrosof msn. hotmail panda sopho borlan inpris example mydomai nodomai ruslis .gov gov. .mil foo. berkeley unix math bsd mit.e gnu fsf. ibm.com google kernel linux fido usenet iana ietf rfc-ed sendmail arin. ripe. isi.e isc.o secur acketst pgp tanford.e utgers.ed mozilla
Поле “Тема” зараженных писем может содержать один из следующих вариантов текста:
Account Error ID#5203 Your Membership Details! ALERT Sorry your account has been suspended You've received an E-Card from a dear friend. Free one year trial Your account has been suspended for over usage Visa and Mastercard and Amex news Security Notice
Тело письма может содержать один из следующих вариантов текста:
The message cannot be represented in plain text because it contains personal and sensitive data, so the message has been attached The message cannot be represented in 7-bit ASCII because it contains personal and sensitive data, so has been sent as a passworded attachment. The message has been sent as a secure passworded attachment. Partial message is available as a secure passworded attachment.
После каждого из фрагментов текста следует строка:
Please use the following password the read the attachment
после которой следует пароль к вложенному архиву с исполняемым файлом червя. Имя файла вложения имеет следующий вид:
Tmp<rnd>.<ext>.zip
где <rnd> - случайная последовательность цифр, <ext> - одно из расширений:
.doc .htm .txt
после которых следуют следующие расширения:
.pif .exe .scr
Адреса для подключения к серверам исходящей почты червь генерирует по маске:
mx.<domain> mail.<domain> smtp.<domain> mx1.<domain> mxs.<domain> mail1.<domain> relay.<domain> ns.<domain> gate.<domain> <domain> - домен взятый из адреса электронной почты получателя.
Так же червь вставляет в окна отправки сообщений Yahoo Messenger ссылки в интернете на закачку своего исполняемого файла, таким образом распространяя себя по IM сети.
Деструктивная активность
Червь предназначен для скрытой установки на компьютер пользователя программного обеспечения с сайтов злоумышленников.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
- Удалить ключ системного реестра:
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
Version3={7D5A7DDF-FA7A-4DA0-8348-A5E7EE0499C0}
[HKCR\CLSID\{7D5A7DDF-FA7A-4DA0-8348-A5E7EE0499C0}\InProcServer32]
%System%\msnmsgr.exe %System%\syslinks2.dll
