Exploit.Win32.IMG-WMF.y

Материал из Total Malware Info

Перейти к: навигация, поиск

Exploit.Win32.IMG-WMF.y Троянская программа, использующая ошибку переполнения буфера в системной библиотеке. Рассылается по электронной почте при помощи почтового червя. Программа является файлом векторного изображения WMF, сформированный таким образом что бы вызывать ошибку переполнения буфера в библиотеке рендеринга изображений данного формата. Имеет размер 85 936 байт.

Деструктивная активность

При открытии извлекает из своего файла следующий файл: 

%System%\winlog.exe – имеет размер 83 456 байт. Определяется как Email-Worm.Win32.Womble.d

Для автоматического запуска при следующем старте системы червь добавляет ссылку на извлеченный исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
windows_startup=%System%\winlog.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
windows_startup=%System%\winlog.exe
  4. Удалить файл:
    5. %System%\winlog.exe
Источник — «http://www.totalmalwareinfo.com/rus/Exploit.Win32.IMG-WMF.y»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.