Worm.Win32.Small.r

Материал из Total Malware Info

Worm.Win32.Small.r Червь, создающий свои копии на локальных дисках компьютера. Является приложением Windows (PE-EXE файл). Имеет размер 13330 байт. Упакован неизвестным упаковщиком, распакованный размер ~86 к.б.

Содержание 1 Инсталляция 2 Распространение 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

%System%\drivers\svchost.exe

а так же в следующие папки:

%WinDir%\addins
%System%
%System%\dllcache
%System%\drivers
%System%\IME
%Program Files%\Common Files\Microsoft Shared
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer\Connection Wizard

с именем вида:

<rnd>.exe, где rnd – 5 случайных прописных латинских букв.

после успешной инсталляции червь удаляет свой оригинальный файл. Изменяет параметры службы “Automatic Updates” таким образом, что бы она запускала исполняемый файл червя при каждой загрузке Windows.

Распространение

Копирует свой исполняемый файл в корень каждого съемного раздела с именем:

<X>:\setup.exe, где <X> – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Скачивает с интернета файл конфигурации по следующей ссылке:

wblove917.3322.org:917

и сохраняет его как:

%System%\svchost.ini

данный файл содержит список адресов в интернете для проведения DOS атак. Червь производит DOS атаку на адреса из списка, посылая на указанный порт большое количество пакетов содержащих мусор следующего вида:

%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET *(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET *(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET *(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET *(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET *(&*^TGH*JIHG^&*(&^%*(*)OK)(*&^%$EDRGF%&^.htmlGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&*^&%.aspGET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET ^%$%^&**(*((&&*^&&%%^&*(*&$%$^%$#^*^%$##$.htmGET ^*%%RFTGYHJIRTG*(&^%DFG(JKJHJ%^&*()*&

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить службу с именем “Automatic Updates”
4. Удалить файлы:

%System%\drivers\svchost.exe
%System%\svchost.ini
<X>:\setup.exe, где <X> – буква раздела
<X>:\autorun.inf, где <X> – буква раздела

5. Из следующих папок:

%WinDir%\addins
%System%
%System%\dllcache
%System%\drivers
%System%\IME
%Program Files%\Common Files\Microsoft Shared
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer\Connection Wizard

удалить файлы вида:

<rnd>.exe, где rnd – 5 случайных прописных латинских букв.