Worm.Win32.Delf.aj

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Delf.aj Червь распространяющийся через съемные носители. Является приложением Windows (PE-EXE файл). Имеет размер 66560 байт. Упакован при помощи UPX, распакованный размер 1136 к.б.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\usbmons.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"DLLName" = %System%\usbmons.dll
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"Shutdown" = DoShutdown
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"Startup" = DoStartup
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"Asynchronous"=00000001
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
"Impersonate"=00000000

Извлекает из своего тела библиотеку: 

%System%\usbmons.dll

данный файл имеет размер 22016 байт и не определяется Антивирусом Касперского как вредоносный объект.

Распространение

Копирует свой исполняемый файл в корень каждого съемного раздела с именем: 

<X>:\RECYCLER\RECYCLER\autorun.exe, где X – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл: 

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Извлекает из своего тела файлы: 

%System%\kb20060826.log – имеет размер 119 296 байт, не определяется Антивирусом Касперского как вредоносный объект.
%System%\NETLIB32.DLL - имеет размер 98 304 байт, не определяется Антивирусом Касперского как вредоносный объект.

Создает службу с именем “CAPAPI32”, которая запускает файл 

%System%\NETLIB32.DLL

при каждой следующей загрузке ОС. Файл NETLIB32.DLL является руткитом, который подгружает себя в процесс iexplore.exe и скрывает свой исполняемый файл на жестком диске и в списках модулей процессов. Данный руткит делает скриншоты окна программы Internet Explorer и отправляет на сайт злоумышленников: 

61.178.141.231

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ реестра системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\usbmon]
  4. Удалить службу с именем “CAPAPI32”
  5. Перезагрузить компьютер
  6. Удалить файлы:
    7. %System%\usbmons.exe
%System%\usbmons.dll
%System%\NETLIB32.DLL
%System%\kb20060826.log
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Delf.aj»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.