Worm.Win32.Agent.i

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Agent.i Вредоносный червь. Является приложением Windows (PE-EXE файл). Имеет размер 71 168 байт. Упакован при помощи UPX, распакованный размер ~241 кб.

Содержание

Инсталляция

Создает папку: 

%System%\ace

Извлекает в свою рабочую папку файл с именем 

WinTask.exe – имеет размер 65 586 байт. Определяется как Trojan.Win32.Enfal.d

После чего запускает его. Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
shell=<путь и имя к и сполняемому файлу>

Устанавливает значение ключа реестра в следующее: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=0

Деструктивная активность

Производит поиск файлов с расширениями 

.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc

на всех разделах жесткого диска. При нахождении файлов с таким расширением червь копирует их в папку %System%\ace\temp. После этого извлекает из своего тела утилиту для архивирования файлов: 

%System%\NtApi.exe – не является вредоносной программой

и с ее помощью архивирует содержимое папки: 

%System%\ace\temp

архивы сохраняются в папку: 

%System%\ace\udis

Файлы архивов имеют расширение .uda и имена такие же как у папок, в которых были найдены файлы с вышеуказанными расширениями.

Распространение

Червь копирует свой исполняемый файл с именем Netsvcs.exe в корневые папки всех логических дисков и устанавливает для него атрибуты скрытый и системный. Так же червь создает файл autorun.inf в корневых папках разделов, который при открытии раздела в Проводнике Windows запускает исполняемый файл червя. Так же червь создает файл thumbs.db в той же папке что и autorun.inf и записывает в него свои настройки.

На сьемных дисках червь создает папку с именем: 

System Volume Information

и копирует в нее содержимое папки 

%System%\ace\udis

т.е. архивы с найденными на компьютере жертвы документами.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя(возможное имя Netsvcs.exe).
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=0
  4. Изменить значение ключа реестра на следующее:
    5. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=Explorer.exe
  5. Удалить файл в рабочей папке червя:
    6. WinTask.exe
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Agent.i»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.