Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Программа является скриптом Java Script (HTML-файл). Имеет размер 4612 байт.

Payload

Код червя активизируется при просмотре зараженной HTML-страницы в браузере с разрешенным запуском активного содержимого.

Для заражения компьютера червь использует следующие способы:

Ищет незараженные HTML-файлы (характеризуются отсутствием строки «
» в начале файла) в следующих каталогах:
```
%WinDir%
%System%
%Temp%
```
После чего дописывает в начало найденных файлов свое тело.

Ищет следующие каталоги, принадлежащие клиентам P2P-сетей:

C:Program FilesKMDMy Shared Folder
C:Program FilesKaZaAMy Shared Folder
C:Program FilesKaZaA LiteMy Shared Folder
C:Program FilesMorpheusMy Shared Folder
C:Program FilesGroksterMy Grokster
C:Program FilesBearShareShared
C:Program FilesEdonkey2000Incoming
C:ProgrammeKMDMy Shared Folder
C:ProgrammeKaZaAMy Shared Folder
C:ProgrammeKaZaA LiteMy Shared Folder

И копирует в найденные каталоги свое тело под именем «%Template%.jpg.html», где «%Template%» — случайная комбинация из следующих слов:

Hot
Teen
Sexy
Fuckin
Wet
Super
Black
XXX
Dildo
Asian
Pussy
Lesbian
SexParty
Bitches
Ass

При каждом запуске червя выполняется копирование пяти его экземпляров.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

Используя любой текстовый редактор (например, «Блокнот»), проверить все файлы с расширением «.HTML» на наличие строки «
» в их начале в следующих каталогах:
```
%WinDir%
%System%
%Temp%
```
Если такие файлы существуют, заменить их незараженными из резервной копии.

Удалить следующие файлы (если они существуют):

C:Program FilesKMDMy Shared Folder%Template%.jpg.html
C:Program FilesKaZaAMy Shared Folder%Template%.jpg.html
C:Program FilesKaZaA LiteMy Shared Folder%Template%.jpg.html
C:Program FilesMorpheusMy Shared Folder%Template%.jpg.html
C:Program FilesGroksterMy Grokster%Template%.jpg.html
C:Program FilesBearShareShared%Template%.jpg.html
C:Program FilesEdonkey2000Incoming%Template%.jpg.html
C:ProgrammeKMDMy Shared Folder%Template%.jpg.html
C:ProgrammeKaZaAMy Shared Folder%Template%.jpg.html
C:ProgrammeKaZaA LiteMy Shared Folder%Template%.jpg.html

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	VBS
Описание	Technical Details Вирус-червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Программа является скриптом Java Script (HTML-файл). Имеет размер 4612 байт. Payload Код червя активизируется при просмотре зараженной HTML-страницы в браузере с разрешенным запуском активного содержимого. Для заражения компьютера червь использует следующие способы: Ищет незараженные HTML-файлы (характеризуются отсутствием строки «» в начале файла) в следующих каталогах: %WinDir% %System% %Temp% После чего дописывает в начало найденных файлов свое тело. Ищет следующие каталоги, принадлежащие клиентам P2P-сетей: C:Program FilesKMDMy Shared Folder C:Program FilesKaZaAMy Shared Folder C:Program FilesKaZaA LiteMy Shared Folder C:Program FilesMorpheusMy Shared Folder C:Program FilesGroksterMy Grokster C:Program FilesBearShareShared C:Program FilesEdonkey2000Incoming C:ProgrammeKMDMy Shared Folder C:ProgrammeKaZaAMy Shared Folder C:ProgrammeKaZaA LiteMy Shared Folder И копирует в найденные каталоги свое тело под именем «%Template%.jpg.html», где «%Template%» — случайная комбинация из следующих слов: Hot Teen Sexy Fuckin Wet Super Black XXX Dildo Asian Pussy Lesbian SexParty Bitches Ass При каждом запуске червя выполняется копирование пяти его экземпляров. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Используя любой текстовый редактор (например, «Блокнот»), проверить все файлы с расширением «.HTML» на наличие строки «» в их начале в следующих каталогах: %WinDir% %System% %Temp% Если такие файлы существуют, заменить их незараженными из резервной копии. Удалить следующие файлы (если они существуют): C:Program FilesKMDMy Shared Folder%Template%.jpg.html C:Program FilesKaZaAMy Shared Folder%Template%.jpg.html C:Program FilesKaZaA LiteMy Shared Folder%Template%.jpg.html C:Program FilesMorpheusMy Shared Folder%Template%.jpg.html C:Program FilesGroksterMy Grokster%Template%.jpg.html C:Program FilesBearShareShared%Template%.jpg.html C:Program FilesEdonkey2000Incoming%Template%.jpg.html C:ProgrammeKMDMy Shared Folder%Template%.jpg.html C:ProgrammeKaZaAMy Shared Folder%Template%.jpg.html C:ProgrammeKaZaA LiteMy Shared Folder%Template%.jpg.html Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.VBS.Nobelman

Technical Details

Payload

Removal instructions