Email-Worm.Win32.Warezov.et

Материал из Total Malware Info

Email-Worm.Win32.Warezov.et Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который загружает из сети Интернет новейшие обновления червя из сайтов злоумышленников. Червь является приложением Windows (PE EXE-файл). Имеет размер 64 512 байт. Упакован при помощи UPX. Распакованный размер – около 150 КБ.

Содержание 1 Инсталляция 2 Распространение через email 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

При запуске червь копирует свой исполняемый файл в системный каталог Windows под именем mspradme.exe:

%System%\mspradme.exe

после чего запускает его на выполнение. Извлекает из своего тела библиотеки DLL и сохраняет их в системный каталог:

%System%\e1.dll
%System%\vb5dmspo.dll

Для автоматического запуска своих компонентов при следующем старте системы червь создает параметры в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mspradme"="%System%\mspradme.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=<имя случайной системной библиотеки> vb5dmspo.dll e1.dll

Распространение через email

Поиск адресов для отправки зараженных писем производится в адресных книгах Outlook.

Деструктивная активность

Рассылает письма, содержащие во вложении троянский загрузчик, который скачивает из Интернет основной исполняемый файл червя по найденным адресам электронной почты. Тема письма выбирается из списка:

Error�Good Day�hello�Mail Delivery System�Mail server report�Mail Transaction Failed�picture�Server Report�Status�test

Текст письма выбирается из списка:

Mail transaction failed. Partial message is available.
---------------------------
�The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.��----------------------------�The message contains Unicode characters and has been sent as a binary attachment.��----------------------------
Mail server report.��Our firewall determined the e-mails containing worm copies are being sent from your computer.��Nowadays it happens from many computers, because this is a new virus type (Network Worms).���Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses��Please install updates for worm elimination and your computer restoring.��Best regards,�Customers support service

Имя файла во вложениисодержит следующие строки в своем имени:

body�data�doc�docs�document�file�message�readme�test�text�Update-KB<случайные цифры>-x86

и расширения ".zip" или ".txt.exe" Далее завершает и останавливает службы антивирусов и межсетевых экранов. Так же червь загружает список ссылок на файлы в Интернете из сайта злоумышленников, после чего скачивает файлы по этим ссылкам и сохраняет их во временную папку Windows с временными именами и запускает их.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить процесс червя (возможное имя mspradme.exe).
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

%System%\vb5dmspo.dll
%System%\mspradme.exe
%System%\e1.dll

4. Удалить параметры из ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mspradme"="%System%\mspradme.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=<имя случайной системной библиотеки> vb5dmspo.dll e1.dll