Worm.Win32.Deborm.ae

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Deborm.ae Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 163923 байт.

Инсталляция

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
LSASS=<имя исполняемого файлы червя>
NAVSVC=<имя исполняемого файлы червя>
JDBGMGR=<имя исполняемого файлы червя>
RPCSS=<имя исполняемого файлы червя>
CSRSS=<имя исполняемого файлы червя>

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
NAV Service=<имя исполняемого файлы червя>

Деструктивная активность

Пытается скопировать свой исполняемый файл на все доступные в сетевом окружении компьютера в следующие папки: 

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\WINDOWS\Start Menu\Programs\Startup
C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup

при попытке копирования червь пытается войти в систему под одной из следующих учетных записей: 

Administrator
Guest
Owner
Root

используя один из паролей: 

901100
pw
mypass123
mypass
pw123
admin123
mypc123
mypc
love
pwd
Login
login
owner
xxx
home
zxcv
yxcv
qwer
secret
asdf
pc
win
temp123
temp
test123
test
abc
aaa
a
foobar
god
sex
root
administrator
pat
patrick
alpha
007
123abc
1234qwer
123123
121212
111111
110
0
2600
2003
2002
xp
enable
godblessyou
ihavenopass
123asd
super
Internet
computer
server
123qwe
sybase
oracle
abc123
abcd
database
passwd
pass
88888888
11111111
00000000
000000
111
54321
654321
123456789
1234567
123
12
1
Password
Admin
admin
cccccccccccccccccccccccccccccccccccccccccc
12345
12345678
letmein
2112
baseball
qwerty
7777
5150
fish
1313
shadow
1111
mustang
pussy
golf
123456
harley
6969
password
1234

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
LSASS=<имя исполняемого файлы червя>
NAVSVC=<имя исполняемого файлы червя>
JDBGMGR=<имя исполняемого файлы червя>
RPCSS=<имя исполняемого файлы червя>
CSRSS=<имя исполняемого файлы червя>

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
NAV Service=<имя исполняемого файлы червя>
  4. Удалить исполняемые файлы червя из папок:
    5. C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\WINDOWS\Start Menu\Programs\Startup
C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Deborm.ae»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.