Email-Worm.Win32.Gain
Материал из Total Malware Info
Email-Worm.Win32.Gain Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 7 680 байт.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\ANTI29A.EXE
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ANTI29A=%WinDir%\ANTI29A.EXE
Распространение по электронной почте
Адреса для рассылки зараженных писем берутся из адресной книги Windows. Сервер исходящей почты для отправки писем берется из учетной записи по умолчанию в Outlook Express. В поле “От” рассылаемые письма содержат текст:
ReEnviaMe
В поле ”Тема” содержат текст:
AyudaME, AyudatE ... AYudEMonoS! Anti29A - SKUDO
Тело письма не содержит текста. Имя файла вложения: “ANTI_29A.EXE”
Прочее
Если в программе Outlook Express настроена учетная запись новостей, червь использует настройки NNTP сервера для отправки сообщения в группу новостей “es.comp.virus”, которое содержит в поле “Тема” следущий текст:
grupo creador de virus 29A
и следующий текст в теле письма:
dais pena JUA JUA JUA
Так же червь устанавливает соединение с следующим IRC сервером:
dune.irc-hispano.org
и входит в канал с именем “#virus” под ником состоящим из случайной последовательности прописных букв.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файл:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ANTI29A=%WinDir%\ANTI29A.EXE
%WinDir%\ANTI29A.EXE
