Email-Worm.Win32.Warezov.sk

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Warezov.sk

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Явлется приложением Windows (PE-EXE файл). Имеет размер 124928 байт. Упакована с помощью UPX, распакованный размер ~153 к.б.

Инсталляция

Создает следуюшие файлы: 

%System%\rasppowr.dll
%System%\rasppowr.exe
%System%\rasppowr.z1
%System%\rasppowr.dat

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rasppowr]

"DllName"="%System%\rasppowr.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

Распространение Данный червь распространяется через ICQ спам рассылку. Рассылается сообщение с текстом:

Check this: My party pics:

после чего следует ссылка в интернет на последнюю модификацию данного червя. Открыв данную ссылку в веб-браузере пользователю будет предложено скачать и запустить исполняемый файл. При запуске скачанного исполняемого файла происходит инсталляция червя в систему.

Деструктивная активность

Червь отключает следующее антивирусное программное обеспечение и межсетевые экраны: Sygate Personal Firewall Symantec Internet Security Agnitum Outpost Firewall McAfee.com Personal Firewall Kerio WinRoute

Так же червь имеет функцию загрузки из заложенного в него списка URL файлов на компьютер пользователя с их последующим запуском.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя(возможное имя: rasppowr.exe).
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\rasppowr.dll
%System%\rasppowr.exe
%System%\rasppowr.z1
%System%\rasppowr.dat
  4. Удалить параметр в ключе реестра (как работать с реестром?):
    5. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rasppowr]
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Warezov.sk»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.