Worm.Win32.VBNA.iby

22.08.2013

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написан на Visual Basic.

Инсталляция
После запуска червь копирует свое тело в следующий файл:
%USERPROFILE%\<rnd>.exe
где <rnd> – случайная последовательность латинских букв (например: "qkviis").
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%USERPROFILE%\<rnd>.exe"
Ключ создается в отдельном потоке в бесконечном цикле, что затрудняет удаление червя.
Распространение
Червь копируется на все доступные для записи съемные диски под случайным именем:
<имя зараженного раздела>:\<rnd>.exe
<имя зараженного раздела>:\<rnd>.scr
Вместе с исполняемым файлом червя помещается файл:
<имя зараженного раздела>:\autorun.inf
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

Червь загружает из сети Интернет файлы со следующих хостов:

ener**h.com
bigsh**art.com
godig**alarts.com
Загруженные файлы сохраняются под случайными именами в каталогах "%Temp%" и "%WinDir%". На момент создания описания загружались следующие файлы:
%Temp%\Nth.exe (180224 байта)
%Temp%\Ntg.exe (182272 байта)
%Temp%\Ntf.exe (275968 байт)
%WinDir%\Nmaraa.exe (182272 байта)
После успешной загрузки файлы запускаются на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
Удалить ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "%USERPROFILE%\<rnd>.exe"
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
%USERPROFILE%\<rnd>.exe
<имя зараженного раздела>>:\<rnd>.exe
<имя зараженного раздела>:\<rnd>.scr
<имя зараженного раздела>:\autorun.inf
<имя зараженного раздела>:\Video.lnk
<имя зараженного раздела>:\Pictures.lnk
<имя зараженного раздела>:\New Folder.lnk
<имя зараженного раздела>:\Documents.lnk
<имя зараженного раздела>:\Music.lnk
<имя зараженного раздела>:\Passwords.lnk
Удалить файлы, загруженные червем, сохраненные в каталогах "%Temp%" и "%WinDir%".
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
Произвести полную проверку компьютера антивирусом с обновленными антивирусными базами.