Email-Worm.VBS.Nobelman

Класс Email-Worm
Платформа VBS
Описание

Technical Details

Вирус-червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Программа является скриптом Java Script (HTML-файл). Имеет размер 4612 байт.

Payload

Код червя активизируется при просмотре зараженной HTML-страницы в браузере с разрешенным запуском активного содержимого.

Для заражения компьютера червь использует следующие способы:

  • Ищет незараженные HTML-файлы (характеризуются отсутствием строки «» в начале файла) в следующих каталогах:
    %WinDir%
    %System%
    %Temp%

    После чего дописывает в начало найденных файлов свое тело.

  • Ищет следующие каталоги, принадлежащие клиентам P2P-сетей:
    C:Program FilesKMDMy Shared Folder
    C:Program FilesKaZaAMy Shared Folder
    C:Program FilesKaZaA LiteMy Shared Folder
    C:Program FilesMorpheusMy Shared Folder
    C:Program FilesGroksterMy Grokster
    C:Program FilesBearShareShared
    C:Program FilesEdonkey2000Incoming
    C:ProgrammeKMDMy Shared Folder
    C:ProgrammeKaZaAMy Shared Folder
    C:ProgrammeKaZaA LiteMy Shared Folder

    И копирует в найденные каталоги свое тело под именем «%Template%.jpg.html», где «%Template%» — случайная комбинация из следующих слов:

    Hot
    Teen
    Sexy
    Fuckin
    Wet
    Super
    Black
    XXX
    Dildo
    Asian
    Pussy
    Lesbian
    SexParty
    Bitches
    Ass

При каждом запуске червя выполняется копирование пяти его экземпляров.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Используя любой текстовый редактор (например, «Блокнот»), проверить все файлы с расширением «.HTML» на наличие строки «» в их начале в следующих каталогах:
    %WinDir%
    %System%
    %Temp%

    Если такие файлы существуют, заменить их незараженными из резервной копии.

  2. Удалить следующие файлы (если они существуют):
    C:Program FilesKMDMy Shared Folder%Template%.jpg.html
    C:Program FilesKaZaAMy Shared Folder%Template%.jpg.html
    C:Program FilesKaZaA LiteMy Shared Folder%Template%.jpg.html
    C:Program FilesMorpheusMy Shared Folder%Template%.jpg.html
    C:Program FilesGroksterMy Grokster%Template%.jpg.html
    C:Program FilesBearShareShared%Template%.jpg.html
    C:Program FilesEdonkey2000Incoming%Template%.jpg.html
    C:ProgrammeKMDMy Shared Folder%Template%.jpg.html
    C:ProgrammeKaZaAMy Shared Folder%Template%.jpg.html
    C:ProgrammeKaZaA LiteMy Shared Folder%Template%.jpg.html
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).