P2P-Worm.Win32.Bare.d

Материал из Total Malware Info

Перейти к: навигация, поиск

P2P-Worm.Win32.Bare.d Интернет-червь, распространяющийся в "peer-to-peer" сетях Kazaa, Morpheus, BearShare и eDonkey2000 (сети обмена файлами). Червь размножается создавая свои копии в общедоступных каталогах этих сетей. Является приложением Windows (PE-EXE файл). Имеет размер 10 240 байт. Упакован при помощи UPX, распакованный размер ~29 к.б.

Содержание

Инсталляция

Копирует свой исполянемый файл как:

%System%\WIN32.EXE

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run]
WIN32=%System%\WIN32.EXE

Деструктивная активность

Копирует свой исполняемый файл в следующие папки: 

c:\program files\morpheus\my shared folder\
c:\program files\kazaa\my shared folder\
c:\program files\bearshare\shared\
c:\program files\eDonkey2000\incoming\

со следующими именами: 

Warcraft 3
Starcraft
Kazaa 2.01
Winamp 3.01
GTA3
key generator
crack
patch
serial
full downloader
Britney Spears
Christina Aguilera
Jennifer Lopez
Pamela Anderson
Claudia Schiffer
nude
xxx
porno
naked
anal
Windows 2000
Kazaa
MSN
AOL
ICQ
mIRC
Yahoo
hack
backdoor remover
password stealer
Spiderman
Harry Potter
wallpaper
screensaver
Burn DVD On CD-R Discs
PS2 games boot disk
PS2 ISO free
ps2 games without a modchip
Xbox Emulator
kmd173_en

и одним из следующих расширений: 

.mpg.exe
. jpg.exe
.avi.exe
.zip.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run]
WIN32=%System%\WIN32.EXE
  4. Удалить файл:
    5. %System%\WIN32.EXE
  5. Удалить все копии червя на жестком диске.
Источник — «http://www.totalmalwareinfo.com/rus/P2P-Worm.Win32.Bare.d»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.