Net-Worm.Win32.Opasoft.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Net-Worm.Win32.Opasoft.b Червь, распространяющий себя по сети. Является приложением Windows (PE-EXE файл). Имеет размер 28 672 байт.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\ScrSvr.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ScrSvr”= %WinDir%\ScrSvr.exe

Распространение

Червь получает список компьютеров в сетевом окружении после чего посылает им специальным образом сформированные пакеты типа NETBIOS Name Query, которые вызывают ошибку переполнения буфера в службе доступа к файлам и принтерам. Червь посылает в пакете загрузчик, который скачивает тело червя на атакуемую машину и запускает его.

Деструктивная активность

Изменяет значение ключа реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“ProxyEnable”=”0”

Скачивает список файлов для загрузки в зашифрованном виде по следующему URL: 

http://www.o*****t.com/work/scheduler.php?ver=01&task=newzad&first=0

и сохраняет его в файл: 

%WinDir%\ScrSin.dat

После чего пытается закачать файлы из списка на компьютер пользователя и запустить их. Скачивает свое обновление по следующей ссылке: 

http://www.o*****t.com/work/scrsvr.exe

и сохраняет его как: 

%WinDir%\scrupd.exe

после чего запускает. На момент написания описания ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ScrSvr”= %WinDir%\ScrSvr.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“ProxyEnable”=”0”
  4. Удалить файлы:
    5. %WinDir%\ScrSvr.exe
%WinDir%\scrupd.exe
Источник — «http://www.totalmalwareinfo.com/rus/Net-Worm.Win32.Opasoft.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.