Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 28 864 байт
Упакован: UPX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"JavaVM" = "%Windir%\java.exe"
"Services" = "%Windir%\services.exe"
.pl*
.ph*
.tx*
.ht*
.asp
.sht
.adb
.dbx
.wab
Обрабатывает адреса, в которых вместо символа @ используются комбинации .dot. _dot_ (dot) at _at_ (at) .at.
spam
abuse
master
sample
accoun
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
ca
feste
not
help
foo
no
soft
site
rating
me
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp
_-!.
_-!.@
spm
В поле From подставляются строки:
Postmaster
Mail Administrator
Automatic Email Delivery Software
Post Office
The Post Office
Bounced mail
Returned mail
MAILER-DAEMON
Mail Delivery Subsystem
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error delivered
Dear user {[электронный адрес получателя]|of [почтовый домен получателя]},
{ {{M|m}ail {system|server} administrator|administration} of [почтовый домен получателя]
would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account
{has been|was} used to send a {large|huge} amount of {{unsolicited{
commercial|}|junk}
e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,}
your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}}
and now {run|contain}s a
{trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|}
{in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{[почтовый домен получателя] {user |technical |}support team.|
The [почтовый домен получателя] {support |}team.}
{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued
before it is returned depends on local configuration parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
Your message {was not|could not be} delivered within [случайное число] days:
{{{Mail s|S}erver}|Host} [узел, на который отправляется письмо]} is not responding.
The following recipients {did|could} not receive this message:
[[почтовый адрес получателя]]
Please reply to postmaster@{[почтовый домен отправителя]|[почтовый домен получателя]}
if you feel this message to be in error.
The original message was received at [текущее время]{
| }from {[почтовый домен отправителя] ]|{[узел, на который отправляется письмо]]|]}}
----- The following addresses had permanent fatal errors -----
{[[почтовый адрес получателя]]|[почтовый адрес получателя]}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{[почтовый домен получателя
].|[узел, на который отправляется письмо]]}:
{]]] MAIL F{rom|ROM}:[Поле From почтового адреса]
[[[ 50$d {[From address of mail]... |}{Refused|{Access
d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 [[почтовый адрес получателя]]... {Mail quota
exceeded|Message is too
large}
554 [[почтовый адрес получателя]]... Service unavailable|550 5.1.2 [[почтовый адрес получателя]]... Host unknown (Name server: host not found)|554 {5.0.0
|}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|]]] RCPT To:[[почтовый адрес
получателя]]
[[[ 550 {MAILBOX NOT FOUND|5.1.1 [[почтовый адрес получателя]]... {User
unknown|Invalid recipient|Not known here}}|]]] DATA
{[[[ 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{[[[ 400-aturner; -RMS-E-CRE, ACP file create failed
|}{[[[ 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}[[[ 400}|}
The original message was included as an attachment.
{{The|Your} m|M}essage could not be delivered
ATTACHMENT
DOCUMENT
FILE
INSTRUCTION
LETTER
MAIL
MESSAGE
README
TEXT
TRANSCRIPT
.bat
.cmd
.com
.exe
.pif
.scr
.zip
1. Отключить компьютер от локальной сети и/или Интернета. Остановить все запущенные сетевые службы.
2. Проверить компьютер антивирусной утилитой Dr.Web CureIt! в Безопасном режиме (Safe Mode). Для всех поражённых файлов выбрать действие "Лечить"
3. Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).
