Другие версии:.at, .bw, .do, .et, .ex, .gl, .iq, .jv, .jx, .la, .lb, .lg, .ms, .mx, .nd, .ns, .nv, .oa, .oi, .on, .op, .ov, .oz, .pb, .qa
Поведение
Email-Worm, почтовый червь.
Технические детали
Вирус-червь, распространяющийся посредством электронной почты. В качестве вложения в письма червь помещает не свою копию, а компонент, который может загружать из Интернета другие вредоносные программы.
Зараженные сообщения рассылаются по всем найденным на компьютере электронным адресам.
Вирус является приложением Windows (PE EXE-файл). Упакован при помощи Upack. Размер его компонентов варьируется в пределах от 20 до 135 КБ .
Инсталляция
При запуске червь отображает на экране следующее сообщение:
Затем вирус копирует свой исполняемый файл в системный каталог Windows под именем «hotpmsta.exe»:
%System%hotpmsta.exe
Создаются следующие файлы:
%System%hotpmsta.dll
%System%hotpmsta.dat
Также червь создает ключ в системном реестре:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyhotpmsta]
"DllName" = "%System%hotpmsta.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = dword:00000000
"Asynchronous" = dword:00000000
Распространение через электронную почту
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
При рассылке зараженных писем вирус использует собственную SMTP-библиотеку .
Пример зараженного письма:
В качестве файла вложения рассылается компонент червя, предназначенный для скачивания из Интернета других вредоносных программ.Деструктивная активность
Действия основного модуля червя
Червь имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров .
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное вредоносное программное обеспечение и инсталлирует его в систему пользователя.
Действия рассылаемого по почте компонента
Функция данного компонента заключается в загрузке из Интернета других файлов без ведома пользователя.
Рассылаемый червем компонент скачивает файл по следующей ссылке:
http://linktunhdesa.com/***32.exe
На момент создания описания по данной ссылке располагалась последняя версия исполняемого файла червя.
Скачанный файл сохраняется во временной папке Windows с произвольным именем, после чего запускается на исполнение.
Рекомендации по удалению
Обнаружение.Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».
«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Вручную удалить следующие файлы из системного каталога Windows:
%System%hotpmsta.exe
%System%hotpmsta.dll
%System%hotpmsta.dat
Удалить ключ реестра:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyhotpmsta]
- Удалить все зараженные письма из всех почтовых папок.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|