Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 130 - 148 Кбайт, 10-30 Кбайт
Упакован: Upack, UPX
Server Report
Status
Error
Test
Mail Delivery System
Mail server report.
Mail Transaction Failed
Good day
picture
Hello
1.Update-KB[число]-х86 с расширением ZIP или EXE.
2. test, body, docs, doc, test, text, readme, file, document, data
------------------------------------
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
Please install updates for worm elimination and your computer restoring.
Best regards,
We have logged a fraud activity from the IP-address belonging to your
The abuse copy is sent as an attachment to this letter. Please learn this.
We have added our utilite that would help you to find and remove any spyware from your PC.
Yours faithfully
1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
%WinDir%\serv.exe (148 621 байт)
Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
1. Отключить "Восстановление системы".
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Mail server report.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
Customers support service
--------------------------------------
Mail transaction failed. Partial message is available.
--------------------------------------
The message contains Unicode characters and has been sent
as a binary attachment.
---------------------------------------
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
---------------------------------------
Dear Sir/Madam,
computer at more than 17 Web-sites and have received abuses
from several companies.
If you were not lucky using another software, please try this one.
Steven Cooper
---------------------------------------
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).
%WinDir%\serv.s (148 621 байт)
%WinDir%\system32\serv.dll (7 680 байта)
%WinDir%\system32\e1.dll (8 704 байта)
%WinDir%\system32\jgmdmsxm.dll (28 672 байта)
%WinDir%\system32\netacdmo.dll (20 480 байт)
%WinDir%\system32\tsd3rasd.exe (16 384 байта)
%WINDIR%\System32\wupstInt.dll (28672 байт)
%WINDIR%\System32\cssewmpd.exe (16384 байт)
%WINDIR%\System32\regaufat.dll (24576 байт)
"serv" = C:\Windows\serv.exe s
"AppInit_DLLs" = wupstInt.dll e1.dll
2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
4. Восстановить реестр из резервной копии.
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).
