Email-Worm.Win32.VB.dj
Технические детали
Почтовый
червь, распространяющийся через Интернет в виде вложений в зараженные
электронные письма. Программа является приложением Windows (PE
EXE-файл). Имеет размер 32256 байт. Упакована при помощи ASPack.
Распакованный размер — около 88 КБ. Написана на Visual Basic.
Инсталляция
После запуска червь копирует свое тело в каталог Windows под именем "msdtc.exe":
%WinDir%\msdtc.exe
Деструктивная активность
Червь проверяет наличие в необходимых для работы системных библиотек:
scrrun.dll
wshom.ocx
Если таких библиотек нет, то скачивает их из сети Интернет:
http://gg.52***y.com/scrrun.dll
http://gg.52***y.com/wshom.ocx
В случае успешного скачивания размещает их в системном каталоге Windows:
%System%\scrrun.dll
%System%\wshom.ocx
Затем вносит изменения в системный реестр:
[HKCR\txtfile\shell\open\command]
"(default)"="%WinDir%\msdtc.exe %1"
Данное действие приведет к исполнению троянца в случае открытия
пользователем любого текстового документа. Для скрытия своей активности
червь после такого старта запустит стандартное приложение
"notepad.exe".
После этого червь читает файл в сети Интернет:
http://gg.52***y.com/mailconfig.asp В данном файле
содержатся настройки дальнейшей работы троянца. Содержимое этого файла
будут сохранены в каталог Windows под именем "winhlp.tmp":
%WinDir%\winhlp.tmp После этого червь производит поиск
адресных книг от различных почтовых клиентов по всем доступным дискам
системы и рассылает себя на все обнаруженные адреса используя
настройки, полученные с сервера злоумышленника.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- При помощи Диспетчера задач завершить вредоносный процесс. "msdtc.exe".
- Удалить оригинальный файл червя (его расположение на
зараженном компьютере зависит от способа, которым программа попала на
компьютер. В данном случае оригинальный файл скорее всего будет
находится в почтовом вложении одного из сомнительных писем).
- Удалить копию троянца:
%WinDir%\msdtc.exe
- Удалить файл:
%WinDir%\winhlp.tmp
- Изменить значение ключа системного реестра:
[HKCR\txtfile\shell\open\command]
"(default)"="%WinDir%\msdtc.exe %1"
на
[HKCR\txtfile\shell\open\command]
"(default)"="notepade.exe %1"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
