P2P-Worm.Win32.Surnova.p
Материал из Total Malware Info
P2P-Worm.Win32.Surnova.p Интернет-червь, распространяющийся в "peer-to-peer" сетях, предназначенных для обмена файлами. Является приложением Windows (PE-EXE файл). Имеет размер 45 056 байт.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\Look-at-This!!!!.exe %WinDir%\Look-at-My-Pussy.exe %WinDir%\How-Are-You.exe %WinDir%\Y.o.exe %WinDir%\You-Are-WeirD.exe
а так же копирует свой исполняемый файл в папку
%WinDir%\Media
под следующими именами:
Windows XP key generator.exe Windows XP serial generator.exe Key generator for all windows XP versions.exe Warcraft 3 ONLINE key generator.exe Half-life ONLINE key generator.exe Quake 4 BETA.exe Grand theft auto 3 CD1 crack.exe GTA3 crack.exe Battle.net key generator (WORKS!!).exe Warcraft 3 battle.net serial generator.exe Half-life WON key generator.exe Star wars episode 2 downloader.exe Winzip 8.0 + serial.exe Winrar + crack.exe Britney spears nude.exe Macromedia MX key generator (all products).exe KaZaA media desktop v2.0 UNOFFICIAL.exe Microsoft key generator, works for ALL microsoft products!!.exe Microsoft Windows XP crack pack.exe Hack into any computer!!.exe DivX codec v6.0.exe DivX newest version.exe DivX.exe DivX pro key generator.exe Key generator for over 1,000 applications (really!).exe DivX patch - Increases quality.exe KaZaA spyware remover.exe Age of empires 2 crack.exe Norton antivirus 2002.exe Macromedia Dreamweaver MX Key Generator.exe Macromedia Flash MX Key Generator.exe Microsoft Office XP (english) key generator.exe Microsoft Office XP.iso.exe CloneCD + crack.exe CloneCD all-versions key generator.exe XBOX emulator (WORKS!!).exe Gamecube Emulator (WORKS!!).exe Xbox.info.exe Spiderman CD 1 of 2.exe Spiderman CD 2 of 2.exe Blade 2 [DVD Quality].exe
с этими же именами червь копирует свой исполняемый файл в папку, на которую указывает значение параметра в ключе реестра:
[HKLM\Software\Kazaa\LocalContent] Dir0
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Ultranova=<путь и имя исполняемого файла червя>
Деструктивная активность
Так же червь распространяется используя уязвимость в программе MSN Messenger, которая позволяет загружать любые файлы на компьютер без ведома пользователя. Для этого червь посылает всем контактам специальные сообщения с неправильно заполненным заголовком. Сообщения содержат текст:
Hehe, check this out :-) Funny, check it out (h) COOL! See this :D COOL! Check this OUT :) Hehe, this is fun :-)
Создает файл со случайным именем состоящим из 11 цифер и расширением .exe в папке %WinDir% и помещает в него текст:
W32.Ultranova
---------------------------------------------------
'Patch the leaks or the ship will sink'
---------------------------------------------------
Удаляет все файлы в корневой папке диска ”c:”
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файл:
- Удалить все копии червя на жестком диске.
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Ultranova=%WinDir%\Look-at-This!!!!.exe Ultranova=%WinDir%\Look-at-My-Pussy.exe Ultranova=%WinDir%\%WinDir%\How-Are-You.exe Ultranova=%WinDir%\Cheese-Burger.exe Ultranova=%WinDir%\Y.o.exe Ultranova=%WinDir%\You-Are-WeirD.exe
%WinDir%\Look-at-This!!!!.exe %WinDir%\Look-at-My-Pussy.exe %WinDir%\How-Are-You.exe %WinDir%\Y.o.exe %WinDir%\You-Are-WeirD.exe
