Worm.Win32.Delf.cj

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Delf.cj Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 22016 байт. Упакован неизвестным упаковщиком, распакованный размер 69 к.б.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\servet.exe

Для автоматического запуска при следующем старте системы червь создает службу с именем “Security Center”, которая запускает исполняемый файл червя при каждой последующей загрузке Windows. При этом создается следующий ключ реестра: 

[HKLM\SYSTEM\CurrentControlSet\Services\WindowsDown]

После инсталляции червь удаляет свой оригинальный файл.

Распространение

Копирует свой исполняемый файл в корень каждого съемного раздела с именем: 

<X>:\servet.exe, где X – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл: 

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”. Так же червь пытается скопировать свой исполняемый файл на все компьютеры в сети, для которых не установлен пароль на учетную запись администратора под следующим именем: 

\\C$\Setup.exe

А так же добавляет строку “Setup.exe” в файл 

\\C$\autoexec.bat

Деструктивная активность

Скачивает файлы по следующим ссылкам: 

http://q900*****.net/1.exe
http://q900*****.net/2.exe
http://q900*****.net/3.exe
http://q900*****.net/4.exe
http://q900*****.net/5.exe
http://q900*****.net/6.exe
http://q900*****.net/7.exe
http://q900*****.net/8.exe
http://q900*****.net/9.exe
http://q900*****.net/10.exe
http://q900*****.net/11.exe
http://q900*****.net/12.exe
http://q900*****.net/13.exe
http://q900*****.net/14.exe
http://q900*****.net/15.exe

скачанные файлы сохраняются как: 

%System%\1.exe
%System%\2.exe
%System%\3.exe
%System%\4.exe
%System%\5.exe
%System%\6.exe
%System%\7.exe
%System%\8.exe
%System%\9.exe
%System%\10.exe
%System%\11.exe
%System%\12.exe
%System%\13.exe
%System%\14.exe
%System%\15.exe

и запускаются на выполнение. На момент создания описания ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра:
    4. [HKLM\SYSTEM\CurrentControlSet\Services\WindowsDown]
  4. Удалить файлы:
    5. %System%\servet.exe
C:\setup.exe
%System%\1.exe
%System%\2.exe
%System%\3.exe
%System%\4.exe
%System%\5.exe
%System%\6.exe
%System%\7.exe
%System%\8.exe
%System%\9.exe
%System%\10.exe
%System%\11.exe
%System%\12.exe
%System%\13.exe
%System%\14.exe
%System%\15.exe
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Delf.cj»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.