На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Email-Worm

Email-Worm.Win32.Scano.ac


Rootkit:  Нет
Видимые проявления:  AVZ обнаруживает отладчик процесса explorer.exe

Исполняемый файл рассылается в качестве вложения, находящегося в zip архиве. Вариантов имени может быть несколько, например your_documents.exe. Размер - 26 кб.
Текст письма собирается из имеющихся в теле письма строк-заготовок, вот несколько примеров для семейства червей Scano:

"Привет! Ты сегодня мне позвонишь???? Я уже не могу ждать! Пока думаешь посмотри програмку которую тебе прислала, ну как? правда здорово?"
или
"Hi, how are you?  What are your plans  today? If you  have  time, please come o
ver,  and don't forget to check the program attached. Bye!"

Идея таких писем проста - убедить пользователя извлечь исполняемый файл из архива и запустить его.
В момент запуска червь копирует себя в папку WINDOWS под именем csrss.exe (не следует путать его с одноименным системным файлом, который размещается в System32). Созданный файл запускается, а исходный завершает свою работу. В свою очередь процесс csrss.exe выполняет следующие операции:
1. Выполняет команду «svchost WINDOWS\csrss.exe»
2. Выполняет команду «services WINDOWS\csrss.exe»
После этого процесс csrss.exe завершает свою работу. Запуск при помощи svchost и services применяется для маскировки факта присутствия кода червя в памяти. В процессе работы червь проявляет функциональность Trojan-Downloader, пытаясь выполнить загрузку посторонних программ.
Для автозапуска червь регистрирует себя в качестве отладчика процесса explorer.exe, что детектируется эвристической проверкой системы AVZ:

Опасно - отладчик процесса "explorer.exe" = "C:\WINDOWS\csrss.exe"

Удаление файла csrss.exe приведет к исчезновению рабочего стола после перезагрузки ввиду того, что процесс explorer.exe не сможет запуститься (подробности см. После лечения вируса исчез рабочий стол).

Удаление вручную:
1. Закрыть все программы кроме AVZ, активировать AVZ Guard
2. Удалить файл WINDOWS\csrss.exe (не путать с системным файлом WINDOWS\SYSTEM32\csrss.exe !!) при помощи отложенного удаления
3. Выполнить «Файл/Восстановление системы», там отметить пункт «Удаление отладчиков системных процессов» и нажать «Выполнить отмеченные операции»
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.