Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 22 020 байт
Упакован: UPX
"Traybar" = "%Windir%\lsass.exe"
%Windir% - каталог с установленной Windows.
incoming
ftproot
download
shar
в виде файлов с такими именами:
index
Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2.and.key
Winamp 5.0 (en) Crack
Winamp 5.0 (en) exe
Этим файлам присваиваются расширения:
.exe
.com
.ShareReactor.com
.scr
james
john
spam
abus
master
sample
accoun
privacycertific
bug
listserv
submit
ntivi
suppor
crosoft
admi
page
the.bat
gold-certs
ca
feste
not
help
service
no
soft
contact
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
root
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
gnu.
gmail
seclist
secur
math
labs
bar.
foo.
.mil
gov.
.gov
update
uslis
domain
example
ophos
spersk
panda
hotmail
msn.
microsoft
sarc.
syma
avp
click me baby, one more time
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Your message was not delivered because the destination computer was
not reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message was not delivered within (число) days:
Host (имя хоста подставляется из адреса) is not responding.
The following recipients did not receive this message:
(подставлено из адреса)
Please reply to postmaster (имя хоста подставлено из адреса)
if you feel this message to be in error.
(Адрес получателя)
----- Transcript of session follows -----
while talking to [имя хоста из поля Кому адреса].:
>>> MAIL From:[Адрес, с которого пришло сообщение]
<<< 501 [имя хоста из поля От]... Refused
from [Адрес из поля От]
----- The following addresses had permanent fatal errors -----
Postmaster
Mail Administrator
Automatic Email Delivery Software
Post Office
The Post Office
Bounced mail
Returned mail
MAILER-DAEMON
Mail Delivery Subsystem
или подставляться любой иной почтовый адрес, найденный в поражённой системе.
.doc
.txt
.htm
.html
blank
attachment
document
file
letter
mail
message
readme
text
transcript
которому присваивается одно из расширений:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
3. Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).
