#1
03.02.2006, 11:27
|
||
Мэтр
Дата рег-ции: 18.04.2005
Сообщения: 6.615
|
Внимание! В сети появился новый червь!
В сети появилься новый червь. Степень опасности высокая!
Email-Worm.Win32.Nyxem.e Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ. Инсталляция После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например: %System%\Sample.zip При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами: %System%\New WinZip File.exe %System%\scanregw.exe %System%\Update.exe %System%\Winzip.exe %System%\WINZIP_TMP.EXE %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe %Windir%\rundll16.exe После чего червь регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"="scanregw.exe /scan" При каждой следующей загрузке Windows автоматически запустит файл червя. Также червь изменяет следующие ключи реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced] "WebView"="0" "ShowSuperHidden"="0" Распространение через email Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения: dbx eml htm imh mbx msf msg nws oft txt vc Червь также сканирует файлы, имеющие в своем имени следующие подстроки: content temporary При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Тема письма: * *Hot Movie* * A Great Video * Arab sex DSC-00465.jpg * eBook.pdf * Fuckin Kama Sutra pics * Fw: * Fw: DSC-00465.jpg * Fw: Funny Very Happy * Fw: Picturs * Fw: Real show * Fw: SeX.mpg * Fw: Sexy * Fwd: Crazy illegal Sex! * Fwd: image.jpg * Fwd: Photo * give me a kiss * Miss Lebanon 2006 * My photos * Part 1 of 6 Video clipe * Photos * Re: * Re: Sex Video * School girl fantasies gone bad * The Best Videoclip Ever * You Must View This Videoclipe! Текст письма: * ----- forwarded message ----- * >> forwarded message * forwarded message attached. * Fuckin Kama Sutra pics * hello, i send the file. Bye * Hot XXX Yahoo Groups * how are you? i send the details. * i attached the details. Thank you. * i just any one see my photos. It's Free Very Happy * Note: forwarded message attached. You Must View This Videoclip! * Please see the file. * Re: Sex Video * ready to be FUCKED Wink * The Best Videoclip Ever * VIDEOS! FREE! (US$ 0,00) * What? Имя файла-вложения: * 007.pif * 04.pif * 3.92315089702606E02.UUE * 677.pif * Attachments[001].B64 * document.pif * DSC-00465.Pif * DSC-00465.pIf * eBook.PIF * eBook.Uu * image04.pif * New_Document_file.pif * Original Message.B64 * photo.pif * School.pif * SeX.mim * WinZip.BHX * Word_Document.hqx * Word_Document.uu Распространение через открытые сетевые ресурсы Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe: ADMIN$ C$ Прочее В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "APVXDWIN" "avast!" "AVG_CC" "AVG7_CC" "AVG7_EMC" "AVG7_Run" "Avgserv9.exe" "AVGW" "BearShare" "ccApp" "CleanUp" "defwatch" "DownloadAccelerator" "kaspersky" "KAVPersonal50" "McAfeeVirusScanService" "MCAgentExe" "McRegWiz" "MCUpdateExe" "McVsRte" "MPFExe" "MSKAGENTEXE" "MSKDetectorExe" "NAV Agent" "NPROTECT" "OfficeScanNT Monitor" "PCCClient.exe" "pccguide.exe" "PCCIOMON.exe" "PccPfw" "Pop3trap.exe" "rtvscn95" "ScanInicio" "ScriptBlocking" "SSDPSRV" "TM Outbreak Agent" "tmproxy" "Vet Alert" "VetTray" "VirusScan Online" "vptray" "VSOCheckTask" Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки: fix kaspersky mcafee norton removal scan symantec trend micro virus Червь удаляет все найденные файлы из следующих папок: %ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll %ProgramFiles%\DAP\*.dll %ProgramFiles%\Grisoft\AVG7\*.dll %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar %ProgramFiles%\McAfee.com\Agent\*.* %ProgramFiles%\McAfee.com\shared\*.* %ProgramFiles%\McAfee.com\VSO\*.exe %ProgramFiles%\Morpheus\*.dll %ProgramFiles%\NavNT\*.exe %ProgramFiles%\Norton AntiVirus\*.exe %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.* %ProgramFiles%\Symantec\LiveUpdate\*.* %ProgramFiles%\Trend Micro\Internet Security\*.exe %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe %ProgramFiles%\TREND MICRO\OfficeScan\*.dll %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe Все перечисленные действия червя делают систему более уязвимой для последующих атак. Также червь может загружать из интернета свои обновления без ведома пользователя. Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры. Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения: dmp doc mdb mde pps ppt psd rar xls zip Испорченные файлы содержат следующий текст: DATA Error [47 0F 94 93 F4 F5] Рекомендации по удалению 1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows). 2. В диспетчере задач найдите процесс с одним из следующих имен: New WinZip File.exe rundll16.exe scanregw.exe Update.exe Winzip.exe WINZIP_TMP.EXE WinZip Quick Pick.exe Если обнаружите такой процесс — завершите его. 3. Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки: %System%\New WinZip File.exe %System%\scanregw.exe %System%\Update.exe %System%\Winzip.exe %System%\WINZIP_TMP.EXE %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe %Windir%\rundll16.exe 4. Удалите из системного реестра следующую запись: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"="scanregw.exe /scan" 5. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок. 6. В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение. 7. Произведите полную проверку компьютера Антивирусом Касперского По материалам Лаборатории Касперского http://www.kaspersky.ru/ |
|
|
Закладки |
Здесь присутствуют: 1 (пользователей - 0 , гостей - 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Компьютерный червь | Leoli | Клуб технической взаимопомощи | 62 | 18.07.2008 21:54 |
Внимание, срок обмена старого ОЗП на новый в Парижском консульстве России ГОД! | Campanule | Административные и юридические вопросы | 11 | 23.09.2006 14:44 |
"Русская девушка в поисках друга" - новый вид мошенничества в Сети | Boris | Обо всем | 48 | 20.08.2005 15:19 |
Русскоязычный вирус появился в ICQ | Boris | Клуб технической взаимопомощи | 0 | 04.08.2005 12:22 |
Раскидываю сети… в сети. Ловись рыбка большая и маленькая + инфа для безработных | Volga | Биржа труда | 2 | 09.08.2004 16:42 |