Email-Worm.Win32.Zhelatin.vg

Материал из Total Malware Info

Email-Worm.Win32.Zhelatin.vg Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма. Является приложением Windows (PE-EXE файл). Имеет размер 118272 байт. Упакован неизвестным упаковщиком, распакованный размер 129 к.б.

Содержание 1 Инсталляция 2 Распространение по электронной почте 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Извлекает из своего тела файлы:

%System%\diperto.ini – 42475 байт, не детектируется как вредоносный объект.
%System%\diperto<rnd>-<rnd>.sys -  129920 байт, детектируется Антивирусом Касперского как Email-Worm.Win32.Zhelatin.vd

где <rnd> - случайная последовательность прописных букв и цифр. Создает службу с именем “diperto<rnd>-<rnd>”, которая запускает исполняемый файл червя при каждой последующей загрузке Windows.

Распространение по электронной почте

Червь пытается установить соединение с сайтами, список которых находится в зашифрованном виде в файле:

%System%\diperto.ini

и загружает с них адреса для рассылки спам-писем и рассылаемый контент, после чего производит рассылку спама по адресам из загруженного списка.

Деструктивная активность

При запуске Rootkit драйвер червя внедряет исполняемый код в системный процесс services.exe. Внедренный код выполняет следующие действия: Ищет на жестком диске файлы со следующими расширениями:

.lst
.dat
.jsp
.dhtm
.mht
.cgi
.uin
.oft
.xls
.sht
.tbb
.adb
.wsh
.pl
.php
.asp
.cfg
.ods
.mmf
.nch
.eml
.mdx
.mbx
.dbx
.xml
.stm
.shtm
.htm
.msg
.txt
.wab

и извлекает из них адреса электронной почты, за исключением тех, которые содержат следующие строки:

postmaster@
root@local
noreply
@avp.
pgp
spam
cafee
panda
abuse
samples
winrar
google
winzip
@messagelab
free-av
@iana
@foo
sopho�certific
listserv
linux
bsd
unix
ntivi
support
icrosoft
admin
kasp
noone@
nobody@
info@
help@
gold-certs@
feste
contract@
bugs@
anyone@
update
news
f-secur
rating@
@microsoft

после чего отправляет собранные данные на сайт злоумышленникам в HTTP запросе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

%System%\diperto.ini
%System%\diperto<rnd>-<rnd>.sys

где <rnd> - случайная последовательность прописных букв и цифр.

1. Удалить службу с именем “diperto<rnd>-<rnd>”

где <rnd> - случайная последовательность прописных букв и цифр.