VirusHunter предупреждава компютърните потребители за разпространението на маса разрушителна червей Win32.Email-Worm.Wukill.A (известен още като Win32.Wukill) чрез инвестиции в електронни съобщения, както и чрез сменяеми носители за съхранение.

намерени някои определения в описанието.
VBS - Visual Basic Script. Програмният език, използван в Windows-базирани системи. Са написани на този език скрипт системни приложения, както и подкрепа на съчетания за интернет сайтове.

VB - Visual Basic. Програмният език, използван в Windows-базирани системи. Са написани на този език, много система и потребителски приложения (програми).

Applet - допълнителна програма скрипт, който използва т.нар "Активни системи сценарии". Обикновено това е написано в VBS или JS (Java Script). Тези програми се използват за спец. вложки в дизайна на уеб страници (например, движещи се картини, една страница с аудио и т.н.).

Explorer - така че оттук нататък ще се позова Explorer "Explorer" Windows, която се използва от по-голямата част от потребителите да работят с файлове и папки.

корен на устройството - на всички файлове в основата на диск, като се премахват всички папки, съхранени върху него с цялото си съдържание.

CNI - така че оттук нататък ще бъде наричан "сменяеми носители."

% Windir% - директорията, в която да инсталирате Windows.

% Потребителски% - директория на текущия потребител в операционната система Windows 2K / XP.

2. Инсталиране на системата.
червей програма е написана на Microsoft VB 6.0 и компилиран във формат PE EXE-приложения (Windows-програма). Първоначалният размер на файла е 49152 байта (не комунални услуги за криптиране или компресия код не се обработват), но в някои случаи може да има по-голям размер (см. Да се ​​твърди, 6 тук).
За изпълнението на червея на Windows трябва да бъде инсталиран техническа библиотека msvbvm60.dll. се изисква Този компонент за работата на всички специални и потребителски приложения, написани на Microsoft VB версия 6. В Windows 9x / ME тя липсва (за Windows 2K няма да кажа точно), но могат да бъдат взети в заем, например, от Windows XP (там е той, точно) и се записва за 9X / ME в системата поддиректорията% Windir% \ SYSTEM.
Ако червеят при стартиране не намира този компонент, той показва стандартната грешка на системата се започва заразяването на програмата и системата не се случи:

Когато стартирате злонамерен прикачения файл от съобщение по електронната поща (името на файла е винаги един и същ - MShelp.exe), червеят показва фалшив съобщение за следващия "повреден файл", за да свалят потребителското Stolk:

След това червеят се копира в системната директория под следните имена:

Червеят прочита името на текущия диск, където стартира неговата прикачен файл (обикновено вашата система с кола) и след това се опитва да се копира на диск или CNI, чието име в медиите е вписана преди това, т.е. например, когато започва да управлява C: като ще управлява А. Ако започва от диск D: - устройство C: и подобните Ако избраното устройство или червей SNI писане, червеят пише също в корена си вашето копие MShelp.exe.
Mstray.exe файл е работен файл на червея и последвалото стартиране на системата автоматично ще поеме контрол. За да направите това, създайте следния ключ на системния регистър, чиято стойност е наречена "RavTimeXP":

Червеят се правят промени в следните стойности в следния ключ на системния регистър:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced]
"Скрита" = DWORD: 00000000
"HideFileExt" = DWORD: 00000001

По принцип стойността на стойностите на данните във всички Windows-базирани системи "по подразбиране" са основни. Въпреки това, червеят ги променя, защото опитни потребители обикновено се заменят в стойността на стойност системни настройки "Hidden" от "0" до "1", така че когато се работи с експлоръра бяха на разположение на файлове и папки, които са били възложени на атрибутите "системата" и / или "скрита" ( "система" и " скрита ", съответно). Що се отнася до инсталирането на червея над стойността на стандартната стойност "HideFileExt" (т.е., "1"), след това тя се той се нуждае, за да скриете разширение "EXE" файл в Mstray.exe др копия за работа с тези файлове Explorer изглеждаше като истински папка (вж. снимката по-горе).
В допълнение, червеят замества новата стойност и приета стойност "по подразбиране" следния ключ на системния регистър долу:

Тази промяна води до червей да позволи изпълнението на специална процедура, свързана със създаването на копия на потребителски директории да бъдат отворени (вж. Моята 3 тук).
Когато започнете да почиствате устройството на червей файл, наречен winfile.exe директно с SNI или процедура твърд диск инсталация в системата и да променят съответните ключове в регистъра, е почти напълно идентичен с посочените по-горе неща. Единствената разлика е тази: когато стартирате червеят не издава никакви съобщения на екрана (защото името на файла е различен от MShelp.exe) и не създава никакви файлове, различни от вашия работен екземпляр Mstray.exe.
След като всички по-горе действия, червеи изходи, както и до следващото рестартиране на системата, не е активен.

3. Размножаване чрез информационни носители. Разрушителните действия.
Първият път, когато системата се рестартира Mstray.exe червей файл се стартира за изпълнение и остава пребиваващ в Windows памет до приключване на работата си. Работна прозорец вирус не е видим за потребителя, тъй като намира извън долната част на екрана.
След получаване на контрол, сканира червей колела А. и В. D: и E: (както вътрешни, така и на мрежата, ако са заразени машина е свързана с други компютри в локалната мрежа, както и съответните им колела са отворени за запис.) И създава в своите корени следните файлове :

- desktop.inirazmerom 72 байта;
- comment.httrazmerom 697 байта.

И така, и др. Файлове на червея възлага сред други атрибути "скрити" и "система", в резултат на което файловете не са видими за потребителя, когато се работи с Explorer.
При достъп чрез Windows Explorer и да е диск червей пише своя корен вашето копие, наречено winfile.exe. и създава и 2 по-горе файл. В този случай, системата автоматично прочита от изпълнение на команди съчетания файл desktop.ini в VBS-comment.htt файл. Тази програма е Applet'om които се обработват от специален ключ на системния регистър -. Извършва се в процедура й позволява на червея да се копира в някоя папка, в която потребителят влиза в използването на Windows Explorer. Процедурата е следната: когато потребителят отвори папка, червеи копия файл с име winfile.exe тази папка. примери:

Program Files \ Program Files.exe
Моите документи \ My dokumenty.exe
и т.н.

Така, че потребителят не забелязва нищо Explorer, червеят създава "скритата" атрибут на създаване.
Ако папката, в която е влязла на потребителя, има оригиналния EXE-файл със същото име като нея (папка) име, червеят "хвърля много":

- Тя не създава негово копие в тази папка;

- създава копие на папката, след промяна на която и да е характер, в името на едно и също име на оригиналния EXE-файл, например: Win amp.exe -> Wiz amp.exe;

- Тя създава копие с името на папката, презаписване на оригинала със съответния EXE-файл тяхното копие с всички негативните последици произтичат от това.

Под Windows 2K / XP, червеят може също произволно генерира копия на desktop.ini файлове. comment.htt и winfile.exe в следната директория под следните имена:

Документи и настройки \% потребителски \ %%%. Esktop.ini
Документи и настройки \% потребителското% \ %%% comment.htt
Документи и настройки \% потребителското% \ %%% WINFILE.EXE

където %%% - произволна комбинация от трите символа, взети назаем от началото на името на случайно избран файл или папка в един от дисковете на заразения компютър. примери:

Документи и настройки \% потребителското% \ Tipdesktop.ini
Документи и настройки \% потребителското% \ Tipcomment.htt
Документи и настройки \% потребителското% \ TipWINFILE.EXE

Документи и настройки \% потребителското% \ Zntdesktop.ini
Документи и настройки \% потребителското% \ Zntcomment.htt
Документи и настройки \% потребителското% \ ZntWINFILE.EXE

Паметта на устройството може да присъства само един активен копие на червея.

% Windir% \ SYSTEM \% NAME% .exe
% Windir% \ уеб \% NAME% .exe
% Windir% \ шрифтове \% NAME% .exe
% Windir% \ температура \% NAME% .exe
% Windir% \ помощ \% NAME% .exe

Като ново име "% название%" активен файл, червеят може да използвате всяка комбинация от главни латински. букви в размер на от едно до пет. Примери за такива имена:

HFFC.exe
SQQNO.exe
E.exe
KI.exe
QOO.exe
DBBXY.exe
ZX.exe
RPPM.exe
T.exe
VVT.exe т.н.

Ако, например, новото име на червея да подаде VVT.exe и той е бил поставен в поддиректория на / шрифтове, тогава стойността на "RavTimeXP" им започне червея съответно изправете ключът към следното:

5. срок за съхранение и технически данни.
За да не се зареди системата на паметта използват пълноценно, излишни данни, червеят продължава да притежава съществената част от кода не е в RAM памет, както и директно на твърдия диск, като временно TMP-файл. Червеят създава специална временна поддиректория, която има допълнителни временни файлове. Всички тези обекти са създадени от червея или в системата на временен файл директория (Windows 9x / ME), или във временната папка на текущия потребител (Windows 2K / XP):

за Windows 9x / ME:

Тук "%%" - произволна комбинация от два знака (цифри и / или главни букви на латиница.) "%" - произволно заглавие броня. писмо, "% название%" - името на активния в момента файл на червея ", %%%%" - произволна комбинация от четири знака (цифри и / или букви на латиница.). Например:

за Windows 2K / 2K Сървър / XP:

Документи и настройки \% потребителското% \ Local Settings \ Temp \

Под всяка от червея Windows постоянно достъп до файла

DF %%%%. ПТУ. В Windows 9x / ME видно размер на байта файл 1536 (скрит червеи), но в действителност тя е 11776 байта; реални и е 16384 байта за Windows 2K / XP размера на файла.

Предмет. [Боклук символи] MS-DOS. [Отломки символи]

Текстът на писмото. липсващ

Приложение. MShelp.exe файл (копие на червея)

7. Други.
Ако в хода на червея настъпила някаква вътрешна грешка, тя може да се покаже следния текст:

В тялото на червея съдържа раздел информация, в който се записват следните данни:

CompanyName Gy
ProductName Xgtray
FileVersion 1.00
ProductVersion 1.00
InternalName wukill
OriginalFilename wukill.exe

D: \ Program Files \ Microsoft Visual Studio \ VB98 \ lhw \ XDD \ XDD \ Xgtray.vbp

8. откриване и отстраняване на червея от колата.
По време на това разкритие Win32.Email-Worm.Wukill.A и помощни компоненти генерирани тях антивирусен открива, както следва:

Antivirus Kaspersky AntiVirus:
winfile.exe файл (известен още като MShelp.exe Mstray.exe и т.н.): Exploit.HTML.Agent.am (по-рано сме установили, че от имейл и Worm.Win32.Rays)
comment.htt файл. Trojan.VBS.Starter.a

Antivirus DrWeb:
winfile.exe файл (известен още като MShelp.exe Mstray.exe и т.н.): Win32.HLLM.Wukill
comment.htt файл. Trojan.AppActXComp

Antivirus BitDefender Professional:
winfile.exe файл (известен още като MShelp.exe Mstray.exe и т.н.): Win32.Wukill.E@mm
comment.htt файл. Trojan.VBS.Starter.G

За да премахнете червея от колата, за да обикновената потребителят може да направите следното:

- проверка на заразени машина, инсталирана върху него антивирусна програма, като се съгласи с премахването на всички файлове, които се откриват вируси с над името на идентификация. Ако машината е свързан с останалите. LAN компютрите, че е необходимо по време на лечението, за да изключите от мрежата. Също така проверете останалите компютри в мрежата.

- изберете да се показват скритите / системните папки и файлове на по-нататъшна работа в Explorer, което може да се възползват от специална програма. VirusHunter'a определен от който можете да изтеглите от тук. Преди да се използва инструментът е силно препоръчително да прочетете приложените към ръководството за комплект.

За откриване в бъдеще на двете познати и все още непознати варианти на троянски коне скрипт за автоматично да стартира зловреден код при достъп до Explorer на първичния дял на твърдия диск, можете да използвате помощната програма на набор VirusHunter'a №9 - STS са (Stealth троянски Script Searcher) ,

В момента, разработени и публикувани на нашия уеб сайт по-долу описание на вируса:

Win32.Email-Worm.Wukill.B
Win32.Email-Worm.Wukill.C
Win32.Email-Worm.Wukill.D (описание не е развита)
Win32.Email-Worm.Wukill.E (описание не е развита)

Свързани статии

• От лабораторията в САЩ загубили тръбата с опасен вирус

• Как да се отървем от прозорци сигурност - контрол вирус

• Как се премахва вирус ефективно изскачат