Email-Worm.Win32.Lewor.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Lewor.a Червь распространяющийся через электронную почту. Является приложением Windows (PE-EXE файл). Имеет размер 54 064 байт. Распакованный размер ~154 кб.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\system32.exe
%System%\windows.exe
%System%\Microsoft.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"windows update"="%System%\Microsoft.exe

Так же изменяет значение следующего ключа реестра: 

[HKCR\txtfile\shell\open\command]
@=%System%\system32.exe %1

что приводит к запуску исполняемого файла трояна каждый раз, когда пользователь открывает текстовый документ.

Распространение по электронной почте

Данный червь распространяется посредством спам рассылки.

Деструктивная активность

При запуске червь открывает файл: 

%WinDir%\ftp.ini

и читает из него значения следующих параметров: 

[Server]
server1name
server2name
server3name
server4name
server5name
server6name
server7name
server8name

после чего червь ищет в системе диалоги авторизации при соединении с FTP сервером, которые содержат список(компонент ComboBox) значений совпадающих со значениями прочитанных параметров. Если такое окно было найдено троян получает значения из полей Login и Password. Собранные данные отправляет в письме на электронную почту: 

leomir21@tom.com


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"windows update"="%System%\Microsoft.exe
  4. Изменить значение ключа реестра на следующее:
    5. [HKCR\txtfile\shell\open\command]
@=notepad.exe %1
  5. Удалить файлы:
    6. %System%\system32.exe
%System%\windows.exe
%System%\Microsoft.exe
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Lewor.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.