Worm.Win32.Sever.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Sever.b Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 14848 байт. Упакован при помощи UPX, распакованный размер ~39 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\NavbwvLw32.Exe
%System%\Winscrl0n3.Scr
%System%\LwBWV60.dll

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=” %System%\NavbwvLw32.Exe”

Деструктивная активность

Закрывает окна со следующими заголовками: 

Norton Personal FireWall
McAfee Firewall Tiny
Personal Firewall
ZoneAlarm Pro
ZoneAlarm
Sophos AntiVirus
F-Secure
Anti-Virus
PC-Cillin 2003
PC-Cillin 2002
Panda AntiVirus
Titanium
eTrust EZ
AntiVirus
eSafe
Desktop Watch VirusScan
Norton AntiVirus

Удаляет содержимое следующих папок: 

%Program Files%\PC-Cil~1\*.*
%Program Files%\ToolKit\FindVirus\*.*
%Program Files%\AntiVi~1\*.*
%Program Files%\VS95\*.*
%Program Files%\TBAVW95\*.*
%Program Files%\f-macro\*.*
C:\Progra~1\FindVirus\*.*
C:\Progra~1\FWIN32\*.*
C:\Progra~1\QuickH~1\*.*
C:\Progra~1\AntiVi~1\*.*
C:\Progra~1\Grisoft\AVG6\*.*
C:\Progra~1\AvPersonal\*.*
C:\Progra~1\Trojan~1\*.*
C:\Progra~1\TinyPe~1\*.*
C:\Progra~1\ZoneLa~1\ZoneAlarm\*.*
C:\Progra~1\Sophos~1\*.*
C:\Progra~1\F-Secure\*.*
C:\Progra~1\Comman~1\F-PROT95\*.*
C:\Progra~1\TrendM~1\Pc-cil~1\*.*
C:\Progra~1\PandaS~1\PandaA~1\*.*
C:\Progra~1\eSafe\Protect\*.*
C:\Progra~1\McAfee\McAfee FireWall\*.*
C:\Progra~1\McAfee\VirusScan\*.*
C:\Progra~1\Common~1\Symant~1\Script~1\*.*
C:\Progra~1\Common~1\Symant~1\*.*
C:\Progra~1\Symantec\*.*
C:\Progra~1\Norton~2\*.*
C:\Progra~1\Norton~1\*.*

Ищет в системе окно с заголовком: 

Chat

И имитирует в нем нажатия на клавиши “I AM OWNED BY NEWWOLF” Ищет в системе окна: 

Instant Message
Conversation

И имитирует в них нажатия на клавиши “YOU CAN BURN IN HELLLL FOR ALLL I CARE OBEY THE WOLF L0NE WOLF”

Так же червь прячет от пользователя активные окна и имитирует в них случайные нажатия на клавиши.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=” %System%\NavbwvLw32.Exe”
  4. Удалить файлы:
    5. %System%\NavbwvLw32.Exe
%System%\Winscrl0n3.Scr
%System%\LwBWV60.dll
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Sever.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.