Другие модификации: .a
Другие названия
Email-Worm.BAT.Krim.b («Лаборатория Касперского») также известен как: I-Worm.Krim.b («Лаборатория Касперского»), MIRC/Generic (McAfee), VBS.Krim.F@mm (Symantec), Bat/Rimko-Fam (Sophos), BAT/Krim.B* (RAV), BAT_KRIM.B (Trend Micro), BAT/Krim.A (FRISK), Worm.BAT.Krim.B (SOFTWIN), Worm.Krim.B (ClamAV), VBS/Rimko.D.worm (Panda)
Поведение
Email-Worm, почтовый червь.
Технические детали
Вирус-червь, распространяющийся через Интернет в виде вложений в зараженные электронные письма, а также по IRC-каналам. Является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 6381 байт.
Инсталляция
После запуска червь копирует свое тело в корневой каталог диска «C:» под именем «amore.bat»:
C:/amore.bat
Для автоматического запуска при каждом последующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"WinBatload" = "C:/amore.bat"
А также создает следующий файл:
%WinDir%/vale/zkm.reg
Размножение
Червь использует два способа распространения по сети:
Распространение через каналы IRC.
Червь проверяет наличие на компьютере каталогов, в которых может быть установлена программа mIRC:
C:/mirc/
C:/mirc32/
C:/progra~1/mirc/
C:/progra~1/mirc32/
Если какой-либо из каталогов существует, червь подменяет находящийся в нем файл «script.ini» файлом с аналогичным именем, который содержит команды для рассылки тела червя всем пользователям в канале IRC.
Распространение посредством вложения в зараженные электронные письма.
Червь создает следующий файл:
%WinDir%/vale/2.vbs
Данный файл рассылает копию червя всем адресатам из адресной книги почтового клиента Outlook Express.
Зараженные письма имеют следующие характеристики:
Тема письма
Sto male senza di TE
Текст письма
Ti prego dammi una risposta t.v.b. la tua Valentina
Имя файла-вложения
C:/amore.bat
Также червь создает файл:
%WinDir%/vale/amore.vbs
Данный файл также рассылает копию червя всем адресатам из адресной книги Outlook Express. Зараженные с его помощью письма имеют следующие характеристики:
Тема письма
Mi ami ancora ???
Текст письма
Mi perdoni per quello che ti ho fatto ?? Valentina
Имя файла-вложения
C:/amore.bat
Деструктивная активность
После запуска червь выводит на экран компьютера следующее сообщение:
Для этого он создает файл:
C:/mhr.vbs
Затем выполняет попытку удалить все файлы, отвечающие заданной маске:
C:/docume~1/*.doc
C:/docume~1/*.xls
C:/docume~1/*.txt
C:/docume~1/*.exe
Далее червь переименовывает файл (в случае существования такового):
%WinDir%/Command/format.com
в
%WinDir%/Command/chdisk.com
И дописывает в файл «C:/autoexec.bat» следующую строку:
@if not exist C:/amore.bat chdisk /q /u /autotest
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой (при этом программа еще не реализовала свой деструктивный функционал), то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы, созданные червем:
C:/amore.bat
C:/mhr.vbs
%WinDir%/vale/zkm.reg
%WinDir%/vale/amore.bat
%WinDir%/vale/amore.vbs
%WinDir%/vale/2.vbs
- Удалить каталог, созданный червем:
%WinDir%/vale/
- Удалить ключ системного реестра:
[HKLMSoftware/Microsoft/Windows/CurrentVersion/Run]
"WinBatload" = "C:/amore.bat"
- Удалить из файла «C:autoexec.bat» следующую строку:
@if not exist C:/amore.bat chdisk /q /u /autotest
- Переименовать файл (если он существует):
%WinDir%/Command/chdisk.com
в
%WinDir%/Command/format.com
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
