Email-Worm.Win32.Warezov.pb

Материал из Total Malware Info

Перейти к: навигация, поиск

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 110592 до 101914.

Инсталляция

Изменяет значение ключа реестра на следующее: 

	[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\w32tcomr]
	"DllName"="%System%\w32tcomr.dll"
	"Startup"="WlxStartupEvent"
	"Shutdown"="WlxShutdownEvent"
	"Impersonate"=0
	"Asynchronous"=0

Копирует свой исполняемый файл в системный каталог Windows: 

	%System%\dhfxgqwuqp.exe

Деструктивная активность

Скачивает файл по следующей ссылке: 

http://www6.ved*******run.com/chr/819/nt.exe

и сохраняет его как: 

%Temp%\~613f.TMP

после чего запускает.Создает следующие файлы: 

%System%\w32tcomr.dll
%WinDir%\System32\w32tcomr.exe

Рекомендации по удалению

  1. Завершить процесс червя.
  2. Удалить оригинальный файл вредоноса.
  3. Удалить файлы: 
    %Temp%\~613f.TMP
%System%\w32tcomr.dll
%WinDir%\System32\w32tcomr.exe
%System%\dhfxgqwuqp.exe
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Warezov.pb»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.