Worm.Win32.Sever.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Sever.a Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 19968 байт. Упакован при помощи UPX, распакованный размер ~56 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\RUNDLL64Lw.exe
%System%\BestScreenSaverEver.Scr
C:\Documents And Settings\All Users\Start Menu\Programs\StartUp\Setup.Exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=”%System%\RUNDLL64Lw.exe”

Деструктивная активность

Закрывает окна со следующими заголовками: 

Norton Personal FireWall
McAfee Firewall
Tiny Personal Firewall
ZoneAlarm Pro
ZoneAlarm
Sophos
AntiVirus
F-Secure Anti-Virus
PC-Cillin 2003
PC-Cillin 2002
Panda AntiVirus Titanium
eTrust EZ AntiVirus
eSafe Desktop Watch VirusScan
Norton AntiVirus

Удаляет содержимое следующих папок: 

%Program Files%\PC-Cil~1\*.*
%Program Files%\ToolKit\FindVirus\*.*
%Program Files%\AntiVi~1\*.*
%Program Files%\VS95\*.*
%Program Files%\TBAVW95\*.*
%Program Files%\f-macro\*.*
%Program Files%\Progra~1\FindVirus\*.*
%Program Files%\Progra~1\FWIN32\*.*
%Program Files%\Progra~1\QuickH~1\*.*
%Program Files%\Progra~1\AntiVi~1\*.*
%Program Files%\Progra~1\Grisoft\AVG6\*.*
%Program Files%\Progra~1\AvPersonal\*.*
%Program Files%\Progra~1\Trojan~1\*.*
%Program Files%\Progra~1\TinyPe~1\*.*
%Program Files%\Progra~1\ZoneLa~1\ZoneAlarm\*.*
%Program Files%\Progra~1\Sopho-s~1\*.*
%Program Files%\Progra~1\F-Secure\*.*
%Program Files%\Progra~1\Comman~1\F-PROT95\*.*
%Program Files%\Progra~1\TrendM~1\Pc-cil~1\*.*
%Program Files%\Progra~1\PandaS~1\PandaA~1\*.*
%Program Files%\Progra~1\eSafe\Protect\*.*
%Program Files%\Progra~1\McAfee\McAfee FireWall\*.*
%Program Files%\Progra~1\McAfee\VirusScan\*.*
%Program Files%\Progra~1\Common~1\Symant~1\Script~1\*.*
%Program Files%\Progra~1\Common~1\Symant~1\*.*
%Program Files%\Progra~1\Symantec\*.*
%Program Files%\Progra~1\Norton~2\*.*
%Program Files%\Progra~1\Norton~1\*.*

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=”%System%\RUNDLL64Lw.exe”
  4. Удалить файлы:
    5. %System%\RUNDLL64Lw.exe
%System%\BestScreenSaverEver.Scr
C:\Documents And Settings\All Users\Start Menu\Programs\StartUp\Setup.Exe
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Sever.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.