Email-Worm.Win32.Zhelatin.ge

Материал из Total Malware Info

Перейти к: навигация, поиск

Email-Worm.Win32.Zhelatin.ge Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 113 117 байт. Упакован неизвестным упаковщиком, распакованный размер ~159 кб.

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\spooldr.exe

Извлекает из своего тела файл: 

%System%\spooldr.sys – имеет размер 7 968 байт, детектируется Антивирусом Касперского как Packed.Win32.Tibs.ap

Создает файл конфигурации в своей рабочей папке с именем spooldr.ini.

Распространение посредством электронной почты Данный червь распространяется посредством спам рассылки в качестве вложения в письма электронной почты. Возможное имя файла-вложения: 

ecard.exe

Деструктивная активность

Завершает и выгружает следующие процессы: 

vsdatant.sys
watchdog.sys
zclient.exe
bcfilter.sys
bcftdi.sys
bc_hassh_f.sys
bc_ip_f.sys
bc_ngn.sys
bc_pat_f.sys
bc_prt_f.sys
bc_tdi_f.sys
filtnt.sys
sandbox.sys
mpfirewall.sys
msssrv.exe
mcshield.exe
fsbl.exe
avz.exe
avp.exe
avpm.exe
kav.exe
kavss.exe
kavsvc.exe
klswd.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
iao.exe
issvc.exe
rtvscan.exe
savscan.exe
bdss.exe
bdmcon.exe
livesrv.exe
cclaw.exe
fsav32.exe
fsm32.exe
gcasserv.exe
icmon.exe
inetupd.exe
nod32krn.exe

Червь ищет на жестком диске файлы со следующими расширениями: 

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp
.dat
.lst

И извлекает из них адреса электронной почты, за исключением тех, которые содержат следующие строки: 

postmaster@
root@
local
noreply
@avp.
pgp
spam
cafee
panda
abuse
samples
winrar
google
winzip
@messagelab
free-av
@iana
@foo
Sopho
certific
listserv
linux
bsd
unix
ntivi
support
icrosoft
admin
kasp
noone@
nobody@
info@
help@
gold-certs@
feste
contract@
bugs@
anyone@
update
news
f-secur
rating@
@microsoft

Собранные адреса а так же версия установленной на компьютере пользователя ОС отправляются на сайт злоумышленникам.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл:
    4. %WinDir%\spooldr.exe
%System%\spooldr.sys
  4. Удалить файл spooldr.ini в рабочей папке червя
Источник — «http://www.totalmalwareinfo.com/rus/Email-Worm.Win32.Zhelatin.ge»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.