Worm.Win32.VBNA.iby
22.08.2013
Технічні деталі
Хробак, що створює свої копії на локальних і доступних для запису знімних дисках. Є додатком Windows (PE-EXE файл). Має розмір 45056 байт. Написаний на Visual Basic.
Інсталяція
Після запуску черв'як копіює своє тіло в такий файл:
% USERPROFILE% \ <rnd>. Exe
де <rnd> - випадкова послідовність латинських літер (наприклад: "qkviis").
Файл створюється з атрибутами "прихований" (hidden) і "системний" (system).
Для автоматичного запуску створеної копії при кожному наступному старті системи створюється ключ системного реєстру:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"<rnd>" = "% USERPROFILE% \ <rnd>. Exe"
Ключ створюється в окремому потоці в нескінченному циклі, що ускладнює видалення хробака.
Поширення
Черв'як копіюється на всі доступні для запису знімні диски під випадковим ім'ям:
<Ім'я зараженого розділу>: \ <rnd>. Exe
<Ім'я зараженого розділу>: \ <rnd>. Scr
Разом з виконуваним файлом хробака поміщається файл:
<Ім'я зараженого розділу>: \ autorun.inf
Це дозволяє черв'якові запускатися кожен раз, коли користувач відкриває заражений розділ за допомогою програми "Провідник".
Створеним файлів присвоюються атрибути "прихований" (hidden) і "системний" (system).
Деструктивна активність
Хробак завантажує з мережі Інтернет файли зі наступних хостів:
ener ** h.com
bigsh ** art.com
godig ** alarts.com
Завантажені файли зберігаються під випадковими іменами в каталогах "% Temp%" та "% WinDir%". На момент створення опису завантажувалися наступні файли:
% Temp% \ Nth.exe (180224 байти)
% Temp% \ Ntg.exe (182272 байти)
% Temp% \ Ntf.exe (275968 байт)
% WinDir% \ Nmaraa.exe (182272 байти)
Після успішного завантаження файли запускаються на виконання.
Рекомендації з видалення
Якщо ваш комп'ютер не був захищений антивірусом і виявився заражений даної шкідливою програмою, то для її видалення необхідно виконати наступні дії:
Перезавантажити комп'ютер в «безпечному режимі» (в самому початку завантаження натиснути і утримувати клавішу «F8», потім вибрати пункт "Safe Mode» в меню завантаження Windows).
Видалити ключ системного реєстру:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"<rnd>" = "% USERPROFILE% \ <rnd>. Exe"
Видалити оригінальний файл хробака (його розташування на зараженому комп'ютері залежить від способу, яким програма потрапила на комп'ютер).
Видалити файли:
% USERPROFILE% \ <rnd>. Exe
<Ім'я зараженого розділу >>: \ <rnd>. Exe
<Ім'я зараженого розділу>: \ <rnd>. Scr
<Ім'я зараженого розділу>: \ autorun.inf
<Ім'я зараженого розділу>: \ Video.lnk
<Ім'я зараженого розділу>: \ Pictures.lnk
<Ім'я зараженого розділу>: \ New Folder.lnk
<Ім'я зараженого розділу>: \ Documents.lnk
<Ім'я зараженого розділу>: \ Music.lnk
<Ім'я зараженого розділу>: \ Passwords.lnk
Видалити файли, завантажені хробаком, збережені в каталогах "% Temp%" та "% WinDir%".
Очистити каталог Temporary Internet Files, який може містити інфіковані файли.
Провести повну перевірку комп'ютера антивірусом з оновленими антивірусними базами.