IM-Worm.Win32.Pykse.a

Материал из Total Malware Info

Перейти к: навигация, поиск

IM-Worm.Win32.Pykse.a

Червь распространяющий себя через сервис Skype. Является приложением Windows (PE-EXE файл). Размер компонентов варьируется в пределах от 57 кбайт до 179 кбайт.

Инсталляция

При запуске извлекает из своего исполняемого файла следующие файлы во временную папку: 

%Temp%\sandra.jpg         – имеет размер 74 880 байт. Не является вредоносным объектом.

А так же файл, имеющий имя, состоящее из случайной последовательности прописных букв латинского алфавита с расширением .exe

Копирует свой исполняемый файл как: 

%System%\Skype.exe

Добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

SkypeStartup="%System%\Skype.exe"

Извлекает из своего тела файл: 

%System%\Invisible002.dll – имеет размер 57 344 байт.

регистрирует извлеченный файл в системе, в результате чего создается ключ реестра: 

[HKCR\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

@="Invisible" 

[HKCR\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}\InprocServer32]

@="%System%\Invisible002.dll" 

"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}\TypeLib]

@="{7FB39839-665D-4D47-873C-D3FD9009FC3B}"


Создает ключ реестра: 

[HKCU\Software\SkypeWorm\cfg]

Создает ключ реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

который будет загружать компонент червя при каждой следующей загрузке Windows.

Деструктивная активность

Червь производит поиск в системе окон приложения Skype. Если находит такие – используя специальный API интерфейс для управления этой программой извне отправляет всем контактам в контакт листе пользователя сообщения содержащие ссылку в Интернет на последнюю версию данного червя. Сообщения так же содержат некоторые из нижеприведенных строк: matei kur sandros foto idejo? ziurek kur sandros foto imeciau kaip tau tokia? :D paziurek kokia foto andrius atsiunte pz ane? bet cia nesveikai uj netau sry netau cia oi netau cia turejo but sory

Так же троян получает из сайта злоумышленников ссылку для закачки файла из интернет, после чего производит закачку файла по ссылке и сохраняет его в папку %System%, файл может иметь любое имя и расширение .exe. После успешной закачки файл запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Завершить троянский процесс
  2. Удалить исходный файл трояна
  3. Удалить файлы:

%Temp%\sandra.jpg %System%\Skype.exe %System%\Invisible002.dll

  1. Удалить параметр в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SkypeStartup="%System%\Skype.exe"

  1. Удалить ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

[HKCU\Software\SkypeWorm\cfg]

[HKCR\CLSID\{7FB39839-665D-4D47-873C-D3FD9009FC3B}]

Источник — «http://www.totalmalwareinfo.com/rus/IM-Worm.Win32.Pykse.a»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.