|
Постоянный
Регистрация: 25.09.2006
Сообщений: 451
Провел на форуме:
2639641
Репутация:
1573
|
|
Email-Worm.Win32.Rays («Лаборатория Касперского»)
также известен как: I-Worm.Rays («Лаборатория Касперского»), W32/Wukill.worm (McAfee), W32.Wullik.B@mm (Symantec), Win32.HLLM.Wukill (Doctor Web), W32/Wukill-B (Sophos), Win32/HLLW.Wukill (RAV), WORM_WUKILL.B (Trend Micro), Worm/Rays (H+BEDV), W32/Rays.A (FRISK), Win32:Wukill-B (ALWIL), I-Worm/Wukill.B (Grisoft), Win32.Rays.A@mm (SOFTWIN), Worm.Rays.A (ClamAV), W32/Wukill.A.worm (Panda), Win32/Wukill.B (Eset)
Описание опубликовано 18 мар 2005
Поведение Email-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь копирует себя на подключаемые внешние устройства.
Червь является приложением Windows (PE EXE-файл), написан на Visual Basic и имеет размер около 49 КБ.
Инсталляция
При инсталляции червь копирует себя с именем Mstray.exe в корневой каталог Windows:
%Windir%\Mstray.exe
При этом иконка созданного файла выглядит в виде папки с целью маскировки исполняемого файла:
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavTimeXP"="%Windir%\Mstray.exe"
Червь изменяет ключ системного реестра, таким образом, чтобы блокировать открытие скрытых и системных файлов:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden"=0
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
Характеристики зараженных писем
Тема письма:
MS?DOS????
Текст письма:
???????? MS-DOS????????????????
Имя файла-вложения:
MShelp.EXE
Прочее
Для распространения на другие компьютеры червь копирует себя в корневой каталог дисков A:, D:, E: в случае их доступности с именем Winfile.exe.
Совет:
Не все антивирусы его видят и удаляют.
Касперского он сразу прекрывает (хотя шестой касперыч помоему удаляет).
Нод - может его удалить при первом запуске.
проверить реест, проверить папку виндовс. Поменьше открывайте полный доступ на долгое время. и читайте письма внимательней
з.ы. полную версию с картинками смотрим тут:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=22895
|