Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Limar

(WORM_STRAT.GEN-3, WORM/Stration.Gen, Trojan:Win32/Stration.F!dll, Win32.Warezov.ZR@mm, W32/Stration.gen@MM, Email-Worm.Win32.Warezov.iq, I-Worm/Stration.DRT, Trojan:Win32/Stration, Generic.Stration.A3248805, Generic_c.DXP, Win32.Worm.Stration.QRM, Email-Worm.Win32.Warezov.nj, Trojan.Downloader.Warezov.W, Win32.Warezov.JQ@mm, Email-Worm.Win32.Warezov.aah, I-Worm/Generic.AFQ, TROJ_Generic.DIS, Win32/Stration.AS, Mal_Strat-2, Trojan.Win32.Muwid.ab, Email-Worm.Win32.Warezov.qh)

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 130 - 148 Кбайт, 10-30 Кбайт

Упакован: Upack, UPX

Техническая информация

  • Распространяется в виде писем с вложениями.
  • Тема письма может быть следующей:

    Server Report
    Status
    Error
    Test
    Mail Delivery System
    Mail server report.
    Mail Transaction Failed
    Good day
    picture
    Hello

  • Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением.
  • Имя вложения может быть следующим:

    1.Update-KB[число]-х86 с расширением ZIP или EXE.

    2. test, body, docs, doc, test, text, readme, file, document, data

  • Тело письма содержит текст:

    ------------------------------------
    Mail server report.

    Our firewall determined the e-mails containing worm copies are being sent from your computer.

    Nowadays it happens from many computers, because this is a new virus type (Network Worms).

    Using the new bug in the Windows, these viruses infect the computer unnoticeably.
    After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

    Please install updates for worm elimination and your computer restoring.

    Best regards,
    Customers support service
    --------------------------------------
    Mail transaction failed. Partial message is available.
    --------------------------------------
    The message contains Unicode characters and has been sent
    as a binary attachment.
    ---------------------------------------
    The message cannot be represented in 7-bit ASCII encoding
    and has been sent as a binary attachment
    ---------------------------------------
    Dear Sir/Madam,

    We have logged a fraud activity from the IP-address belonging to your
    computer at more than 17 Web-sites and have received abuses
    from several companies.

    The abuse copy is sent as an attachment to this letter. Please learn this.

    We have added our utilite that would help you to find and remove any spyware from your PC.
    If you were not lucky using another software, please try this one.

    Yours faithfully
    Steven Cooper
    ---------------------------------------

  • В зависимости от типа вложения в письме при своём запуске червь выпоняет:

    1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
    2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).

  • В зависимости от своей модификации при своём запуске червь создаёт следующие файлы:

    %WinDir%\serv.exe (148 621 байт)
    %WinDir%\serv.s (148 621 байт)
    %WinDir%\system32\serv.dll (7 680 байта)
    %WinDir%\system32\e1.dll (8 704 байта)
    %WinDir%\system32\jgmdmsxm.dll (28 672 байта)
    %WinDir%\system32\netacdmo.dll (20 480 байт)
    %WinDir%\system32\tsd3rasd.exe (16 384 байта)
    %WINDIR%\System32\wupstInt.dll (28672 байт)
    %WINDIR%\System32\cssewmpd.exe (16384 байт)
    %WINDIR%\System32\regaufat.dll (24576 байт)

    Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.

  • Червь маскирует свои процессы.
  • Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения".
  • Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе.
  • Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре:

    HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
    "serv" = C:\Windows\serv.exe s

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
    "AppInit_DLLs" = wupstInt.dll e1.dll

  • Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами.
  • Рекомендации по восстановлению системы

    1. Отключить "Восстановление системы".
    2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
    3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
    4. Восстановить реестр из резервной копии.

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
    Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).