Червь Ressentment.A
ОписаниеПризнаки
При запуске пытается запустить бинарный файл winapp32, что приводит к выводу сообщения об отсутствии ассоциации системы с данным расширением файла, и файл открывается в "Блокноте".
Добавляет в пункт контекстного меню Windows "Send to" подпункт "Carpeta comprimida (en ZIP)". Такая опция уже существует в данном пункте меню и называется "Compressed (zipped) Folder". При выборе пользователем опции "Carpeta comprimida (en ZIP)", активируется копия червя.
Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке. На странице имеется кнопка "Actualizar" ("Обновить", испанский), при нажатии которой червь пытается отправить письмо по определённому адресу с сообщением о том, что двое сотрудников определённой компании должны быть уволены.
При запуске создает следующие файлы:
* FOLDER32.EXE - в системной директории Windows, копия червя
* MI MUSICA.EXE и MIS IMAGENES.EXE - в директории "Мои документы", копия червя
* CARPETA COMPRIMIDA (EN ZIP).EXE - в поддиректории "SendTo" директории "Documents and Settings" текущего пользователя, копия червя
* ERROR.HTM - в системной директории Windows
* Файлы с именами из 8 случайных символов с расширениями EXE, BAT, COM, PIF и SCR в директории Windows и системной директории Windows
Обеспечивает себе автозагрузку, делая в реестре следующие записи:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Folder32 = %sysdir%\folder32.exe
Для замены заголовка окна Internet Explorer делает в реестре запись:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Window Title = ELI Corportation LaBs 2007
Записывает в реестр признак заражения компьютера:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ CETEC \ WormVersion = 1.0
Модифицирует стартовую страницу Internet Explorer (через реестр):
* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main \ Start Page = file:///%sysdir%\error.htm
Распространяется копированием себя на все диски, записывая в корень два файла - SYSTEMVOLUMEINFORMATION.EXE и файл автозапуска AUTORUN.INF.
Написан на языке Visual Basic 6.0.
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все диски. Иконка червя идентична иконке папки Windows.
Заменяет заголовок браузера IE "Microsoft Internet Explorer" на "ELI Corportation LaBs 2007". Заменяет стартовую страницу Internet Explorer на "C"\Windows\System32\error.htm" - файл, имитирующий сообщение браузера об ошибке открытия страницы на испанском языке.
Пытается отправить письмо на определенный адрес с текстом о том, что двое сотрудников определенной компании должны быть уволены.
источник: PandaSecurity.com