Email-Worm.Win32.VB.dc

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.VB.dc Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Программа является приложением Windows (PE EXE-файл). Имеет размер 32256 байт. Упакована при помощи ASPack. Распакованный размер — около 88 КБ. Написана на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в каталог Windows под именем "msdtc.exe": 

%WinDir%\msdtc.exe

Деструктивная активность

Червь проверяет наличие в необходимых для работы системных библиотек: 

scrrun.dll
wshom.ocx

Если таких библиотек нет, то скачивает их из сети Интернет: 

http://gg.5******.com/scrrun.dll
http://gg.5******.com/wshom.ocx

В случае успешного скачивания размещает их в системном каталоге Windows: 

%System%\scrrun.dll
%System%\wshom.ocx

Затем вносит изменения в системный реестр: 

[HKCR\txtfile\shell\open\command]
"(default)"="%WinDir%\msdtc.exe %1"

Данное действие приведет к исполнению троянца в случае открытия пользователем любого текстового документа. Для скрытия своей активности червь после такого старта запустит стандартное приложение "notepad.exe". После этого червь читает файл в сети Интернет: 

http://gg.5******.com/mailconfig.asp

В данном файле содержатся настройки дальнейшей работы троянца. Содержимое этого файла будут сохранены в каталог Windows под именем "winhlp.tmp": 

%WinDir%\winhlp.tmp

После этого червь производит поиск адресных книг от различных почтовых клиентов по всем доступным дискам системы и рассылает себя на все обнаруженные адреса используя настройки, полученные с сервера злоумышленника.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи <Диспетчера задач> завершить вредоносный процесс "msdtc.exe".

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер. В данном случае оригинальный файл скорее всего будет находится в почтовом вложении одного из сомнительных писем).
  2. Удалить копию троянца:
    3. %WinDir%\msdtc.exe
  3. Удалить файл:
    4. %WinDir%\winhlp.tmp
  4. Изменить значение ключа системного реестра:
    5. [HKCR\txtfile\shell\open\command]
"(default)"="%WinDir%\msdtc.exe %1"

на 

[HKCR\txtfile\shell\open\command]
"(default)"="notepade.exe  %1"
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.VB.dc»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.