Сегодня среда, 19 июня 2019 года
Навигация
 Главная
 О компании
 Контакты
 Карта сайта
 Информация
 Услуги и цены
 Способы оплаты
 Тех поддержка
 Юр. лицам
 Подключение
 Абоненту
 Услуги
 Ресурсы сети
 Сервер статистики
 Правила работы в сети
 IPTV
 SmartTV 24h.tv
· SmartTV SS-IPTV
 Контент
 Наши форумы
 Страничка юмора
 Авиа расписание
 Личная галерея
 Интересное...
 Софт
 Каталог Freesoft.ru
 Файловый обменник
 Почта
 vmail.sgaice.ru
 Наши партнёры
 www.pitatel.ru
 ONTRACK.RU
 Рекомендуем
 www.linuxcenter.ru
 www.softkey.ru
 Авторадиоклуб
 Тундра 4х4
 Браузер Гогуль
 Kitty Ketty

::


  •    «Лаборатория Касперского» предупреждает о росте количества перехватов шести новых версий почтового червя Warezov: Email-Worm.Win32.Warezov.bv, bx, bw, bu, by и ca. Детектирование всех новых вариантов уже добавлено в антивирусные базы.

    Пользователям рекомендуется обновить свои антивирусы. Более подробная информация об Email-Worm.Win32.Warezov.bw опубликована в «Вирусной энциклопедии».

    Технические детали:

    Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

    Червь является приложением Windows (PE EXE-файл), имеет размер 150557 байт. Упакован при помощи UPack. Размер в распакованном виде — около 540 КБ.

    Инсталляция

    После запуска червь выдает на экран следующее сообщение:
    Update successfullu installed.

    При инсталляции червь копирует себя в корневой каталог Windows с именем serv.exe:
    %Windir%serv.exe

    Также червь создает следующие файлы в системном и корневом каталогах Windows:

    %System%cssewmpd (16384 байта)
    %System%e1.dll (8192 байт)
    %System%regaufat.dll (24576 байт)
    %System%wupstlnt.dll (28672 байта)
    %Windir%serv.dll (7680 байт)
    %Windir%serv.s
    %Windir%serv.wax

    Также червь создает следующие записи в системном реестре:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "serv"="%Windir%serv.exe s"

    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "AppInit_DLLs"="wupstlnt.dll e1.dll"

    Т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

    Распространение через email
    Для поиска адресов жертв червь сканирует адресные книги MS Windows.

    При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

    Характеристики зараженных писем

    Пример зараженного письма:
    Тема письма:
    Выбирается из списка:

    * Error
    * Good Day
    * hello
    * Mail Delivery System
    * Mail server report
    * Mail Transaction Failed
    * picture
    * Server Report
    * Status
    Текст письма:

    Выбирается из списка:
    * Mail transaction failed. Partial message is available.
    * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    * The message contains Unicode characters and has been sent as a binary attachment.
    Mail server report.
    Our firewall determined the e-mails containing worm copies are being sent from your computer.
    Nowadays it happens from many computers, because this is a new virus type (Network Worms).
    Using the new bug in the Windows, these viruses infect the computer unnoticeably.
    After the penetrating into the computer the virus harvests all the e-mail addresses
    and sends the copies of itself to these e-mail addresses
    Please install updates for worm elimination and your computer restoring.
    Best regards,
    Customers support service


    Деструктивная активность:

    Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

    Также червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен. Рекомендации по удалению

    1. Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
    2. В диспетчере задач найдите процесс с именем:
    serv.ex
    Если обнаружите такой процесс — завершите его.

    3. Вручную удалите следующие файлы из корневого и системного каталогов Windows:

    %System%e1.dll
    %System%regaufat.dll
    %System%wupstlnt.dll
    %System%cssewmpd
    %Windir%serv.dll
    %Windir%serv.s
    %Windir%serv.wax
    %Windir%serv.exe

    4. Удалите из системного реестра следующие записи:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "serv"="%Windir%serv.exe s"

    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows]
    "AppInit_DLLs"="wupstlnt.dll e1.dll"

    5. Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

    6. Произведите полную проверку компьютера Антивирусом с обновленными антивирусными базами.


Рейтинг статьи
Средняя оценка: 3
Ответов: 2
Отлично
Очень хорошо
Хорошо
Нормально
Плохо

 
Комментарии принадлежат отправителю. Мы не несем ответственности за их содержание.

Вы не можете отправить комментарии анонимно, пожалуйста, зарегистрируйтесь.



Copyright Copyright © 2009г. ISP ЗАО"Севергазавтоматика АйС"
629300, ЯНАО, г. Новый Уренгой, ул. Таёжная, 196,а/я 317, e-mail: support@sgaice.ru
Система Orphus