Email-Worm.Win32.Warezov.qy
Материал из Total Malware Info
Email-Worm.Win32.Warezov.qy Вирус-червь, распространяющийся посредством электронной почты. В зараженные письма в качестве вложения он помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета других вредоносных программ.
Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Имеет размер 123 392 байт. Упакован с помощью UPX, распакованный размер ~148 кбайт.
Инсталляция
Затем копирует свой исполняемый файл в системный каталог Windows под именем «w32tcomr.exe»:
%System%\w32tcomr.exe
Создает следующий файл размером 110 592 байт:
%System%\w32tcomr.dll
Также червь создает ключ в системном реестре:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\w32tcomr.exe] "DllName" = "%System%\w32tcomr.exe" "Startup" = "WlxStartupEvent" "Shutdown" = "WlxShutdownEvent" "Impersonate" = dword:00000000 "Asynchronous" = dword:00000000
Распространение через электронную почту
С целью поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем вирус использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Тема письма
Mail sever report.
Текст письма
=
=
Do not reply to this message Dear Customer, Our robot has fixed an abnormal activity from your IP address on sending e-mails. Probably it is connected with the last epidemic of a worm which does not have patches at the moment. We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction. Customer support center robot
Имя файла-вложения
В качестве файла-вложения червь рассылает собственный компонент, который может загружать из Интернета другие вредоносные программы. Данный файл имеет имя вида:
Update-KB<случайное четырехзначное число>-x86.exe
Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Вирус производит поиск адресов электронной почты во всех файлах на жестком диске инфицированного компьютера и отправляет собранную информацию на сайт злоумышленника.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке на компьютер из сети Интернет файлов без ведома пользователя.
Рассылаемый червем компонент скачивает самую последнюю версию червя из сети интернет по заложенной в него ссылке.
Скачанный файл сохраняется во временной папке Windows с временным именем, после чего запускается на исполнение.
Рекомендации по удалению
Обнаружение. Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского». «Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данную вредоносную программу без обновления антивирусных баз. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ реестра (как работать с реестром?):
- Удалить файлы:
- Удалить все зараженные письма из всех почтовых папок.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\w32tcomr]
%System%\w32tcomr.exe %System%\w32tcomr.dll
