Worm.Win32.Socks.gi

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Socks.gi Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 45654 байт. Упакован неизвестным упаковщиком, распакованный размер ~61 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\drivers\spools.exe
%Documents and Settings%\<текущий пользователь>\cftmon.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
autoload=%Documents and Settings%\<текущий пользователь>\cftmon.exe
ntuser=%System%\drivers\spools.exe

Извлекает из своего тела библиотеку: 

%Documents and Settings%\<текущий пользователь>\ftp33.dll
%System%\ftp33.dll

Данный файл имеет размер 5120 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.tra Изменяет значение ключа реестра: 

[HKLM\SOFTWARE\Classes\exefile\shell\open\command]
default=%Documents and Settings%\<текущий пользователь>\cftmon.exe "%1" %*

что приводит к тому, что исполняемый файл червя будет запускаться каждый раз, когда пользователь запускает какое-либо приложение.

Деструктивная активность

Регистрируется на сайте злоумышленников, открывая следующую ссылку: 

http://sta*****com/tail/?&v=ver&s=0

получает список ссылок на файлы для закачки из интернет по следующей ссылке: 

http://sta*****com/tail/manda.php?id=-871155199&v=ver&s=0

далее червь скачивает файлы из списка и сохраняет их в папку 

%WinDir%\system32

после чего запускает на выполнение. На момент создания описания в списке была одна ссылка: 

http://72.2****.246/list.exe

которая не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключе системного реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
autoload=%Documents and Settings%\<текущий пользователь>\cftmon.exe
ntuser=%System%\drivers\spools.exe
  4. Удалить файлы:
    5. %System%\drivers\spools.exe
%Documents and Settings%\<текущий пользователь>\cftmon.exe
%Documents and Settings%\<текущий пользователь>\ftp33.dll
%System%\ftp33.dll
  5. Изменить значение следующего ключа реестра на:
    6. [HKLM\SOFTWARE\Classes\exefile\shell\open\command]
default="%1" %*
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Socks.gi»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.