Worm.Win32.Bomzh.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Bomzh.b Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 163840 байт.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\windata.exe

Извлекает из своего тела следующие файлы: 

%System%\url.exe - 65536 байт, детектируется Антивирусом Касперского как Worm.Win32.Bomzh.b
%System%\csiss.exe - 24576 байт, детектируется Антивирусом Касперского как Worm.Win32.Bomzh.b
%System%\Scryptnat.dll - 24576 байт, детектируется Антивирусом Касперского как Worm.Win32.Bomzh.b

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Scryptnat]
DllName=”Scryptnat.dll”

Распространение

Копирует свой исполняемый файл в корень каждого съемного раздела с именем: 

<X>:\Recycled.exe, где X – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл: 

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Изменяет значение ключа реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
EnableFirewall=0

Червь скачивает файл со следующего сайта: 

www.ppcode.cn:441

и сохраняет его как: 

%System%\ker.exe

после чего запускает. Создает файл, в котором хранит свои настройки: 

%System%\parffilt.ini

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Scryptnat]
  4. Удалить файлы:
    5. %System%\windata.exe
%System%\url.exe
%System%\csiss.exe
%System%\Scryptnat.dll
%System%\parffilt.ini
%System%\ker.exe
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Bomzh.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.