Email-Worm.Win32.Warezov.mo

Материал из Total Malware Info

Email-Worm.Win32.Warezov.mo Червь, распространяющийся через спам рассылку. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется от 102 до 165 кб. Компоненты опционально упакованы UPX.

Содержание 1 Инсталляция 2 Деструктивная активность 3 Распространение 4 Рекомендации по удалению

Инсталляция

Извлекает из своего тела файлы:

%System%\diagisr.dll
%System%\isrprf32.dll
%System%\isrprov.exe
%System%\117X4sHrH5C.dll

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
himem.exe=<путь и имя исполняемого файла червя> -s

 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=%System%\diagisr.dll

Деструктивная активность

Подгружает свой компонент

%System%\diagisr.dll

В следующие процессы:

iexplore.exe
services.exe
firefox.exe
opera.exe
zlclient.exe
zapro.exe
smc.exe
ccapp.exe
outpost.exe
mpftray.exe

после чего данный компонент применяет к каждому из процессов специальные процедуры обхода систем безопансности. Для каждого процесса процедура индивидуальна, однако основана на имитировании нажатий пользователем на кнопки подтверждения разрешения доступа в сеть или другой подозрительной активности.

Так же червь пытается отключить службы следующих программ обеспечения безопасности:

Zone Labs Zone Alarm
Sygate Personal Firewall
Symantec Internet Security
Agnitum Outpost Firewall
Kaspersky Anti-Virus Personal

Основной компонент червя похищает информацию о контактах из адресной книги Windows а так же из контакт листа программы Yahoo Messenger, после этого собранную информацию червь загружает на один из доступных сайтов злоумышленников:

zasekerunskdarun.com
zasedinkionkderunjsa.com
yuoplinkdeshkina.com
yuntionkertunhasderun.com
yuherionkdesunjafunhde.com
xasetunjinkderunhasdefun.com
xasedunkinmdespish.com
xasedinjertiona.com
xasderunkiondemfunhas.com
vuizuiceshkin.com
vshdetionkasde.com
vikionlderunjadesunjerpas.com�videsariomdesin.com
vetionjderinjdaserinjde.com
vertionmdefunshjin.com
vertionkdesunjadewionsa.com
vertionkdefunjdesa.com
vertionkdefunhsadefuinn.com
vertionkdasetiondegnas.com
verionkdesunjadefinpiomi.com
verionkdaerinjdefunhsa.com
verionkadesunjionkasde.com
verindefunhasetrionde.com
vendjinpiontunyunde.com
vaserunjionkdefunhasde.com
vadesuntiondeunwaserun.com
vadesunjiokderunjdaserin.com
vadesinlinmaspion.com
vadefuntionkderunhsa.com
ukpaderionjdepisadrin.com
tuiodnegunhfaxesun.com
tuindjeinkdadeisna.com
slionsadehungans.com
siadesinjertiopasde.com
shuiduewnahsuewaa.com
shkinmdefuhawuinde.com
shiakirationdefun.com
sedrunkionmasderunhas.com
sedionkdrunjdapolinkdun.com
sedinpasdinkerinjjas.com
gandesunjionderunshishu.com

Распространение

Данный червь распространяется через спам рассылку по электронной почте.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
himem.exe=<путь и имя исполняемого файла червя> -s

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=%System%\diagisr.dll

4. Перезагрузить компьютер
5. Удалить файлы:

%System%\diagisr.dll
%System%\isrprf32.dll
%System%\isrprov.exe
%System%\117X4sHrH5C.dll