Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

C:win32napp.exe

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"win32napp" = "c:win32napp.exe -e"

Payload

В процессе своей работы червь в цикле выполняет поиск на локальных дисках компьютера файлов с расширением “.exe”. За одну итерацию полного сканирования файловой системы компьютера случайным образом отбираются 10 файлов. Отобранные файлы модифицируются следующим образом. В начало файла записывается тело червя, затем следует строка-разделитель “—DEVILSTILLSMELLSME—“, затем – оригинальное содержимое модифицируемого файла.

В ходе запуска зараженного файла сначала выполняется код червя, затем оригинальное содержимое файла сохраняется в рабочем каталоге червя под именем:

%WorkDir%tmp.exe

и запускается на выполнение.

В процессе своей работы червь может выдавать сообщение:

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Worm
Платформа	Win32
Описание	Technical Details Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на Visual Basic. Инсталляция После запуска червь копирует свое тело в следующий файл: C:win32napp.exe Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "win32napp" = "c:win32napp.exe -e" Payload В процессе своей работы червь в цикле выполняет поиск на локальных дисках компьютера файлов с расширением “.exe”. За одну итерацию полного сканирования файловой системы компьютера случайным образом отбираются 10 файлов. Отобранные файлы модифицируются следующим образом. В начало файла записывается тело червя, затем следует строка-разделитель “—DEVILSTILLSMELLSME—“, затем – оригинальное содержимое модифицируемого файла. В ходе запуска зараженного файла сначала выполняется код червя, затем оригинальное содержимое файла сохраняется в рабочем каталоге червя под именем: %WorkDir%tmp.exe и запускается на выполнение. В процессе своей работы червь может выдавать сообщение: Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Worm.Win32.Smelles

Technical Details

Инсталляция

Payload

Removal instructions