Лаборатория Касперского: новый вирус Worm.Amus.a

07.05.2013
Лаборатория Касперского: новый вирус Worm.Amus.a

«Лаборатория Касперского» предупреждает об обнаружении нового интернет-червя I-Worm.Amus.a. Червь распространяется по электронной почте в качестве вложений в зараженные электронные письма.

На момент добавления специальных сигнатур в антивирусные базы, детектировался как I-Worm.generic.
Червь написан на VisualBasic, файл червя имеет размер 50 КБ, упакован Yoda.
Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).

Инсталляция
При своем запуске червь:
1) создаёт в памяти уникальный идентификатор с именем Masum;
2) пытается вызвать системную функцию ISpeechVoice.Speak для воспроизведения звукового сообщения:

How are you. I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule.
3) копирует себя в корневой каталог диска C: под именем Masum.exe, а также в каталог Windows под именами:
Adapazari.exe
Ankara.exe
Anti_Virus.exe
Cekirge.exe
KdzEregli.exe
Messenger.exe
Meydanbasi.exe
My_Pictures.exe
Pide.exe
Pire.exe

Файл KdzEregli.exe регистрируется в ключе автозапуска системного реестра Windows:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
Microzoft_Ofiz=%WINDIR%KdzEregli.exe
Кроме того, в системном реестре создается следующая запись:
[HKCUSOFTWAREMicrosoftMasumWho]
Who=OnEmLi_DeGiL
Размножение через email

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.
Зараженные письма
ЗАГОЛОВОК

Listen and Smile
ТЕКСТ
Hey. I beg your pardon. You must listen.
ИМЯ ВЛОЖЕНИЯ
Masum.exe
Червь использует реальный адрес отправителя зараженного письма.
Проявления в системе
1, 6, 20 и 25 числа каждого месяца червь заменяет URL стартовой страницы программы Internet Explorer текстом:
Konneting du pepil and dizkoneting you.

Anlami: Baglansan ne olacak, baglanmasan ne olacak. Zaten hatlar burada rezalet.
2, 15 и 17 числа каждого месяца червь пытается удалить все файлы с расширением ini в каталоге Windows.

10 и 23 числа каждого месяца червь пытается удалить все файлы с расширением dll в каталоге Windows.
________________
Источник — Лаборатория Касперского — www.viruslist.com

Другие светильники этого типа:

9 comments to Лаборатория Касперского: новый вирус Worm.Amus.a

  • admin

    Стебли стелющиеся, сильноветвистые, 15-20 см высотой, сочные, мясистые, светло-зеленые, иногда с красноватым оттенком.

  • admin

    «Помогите разобраться — как делать дренаж на нашей сложной глинистой почве.

  • admin

    Да счас очень трудно найти именно профессионалов, тут только по рекоммендации или через знакомых…

  • admin

    «Забыла вам про фартук на кухне написать. Я бы на вашем месте не клала плитку на фартук, если её нет. Можно купить в Икеа стеновые панели (они там нормальные) и прикрутить их на дюбеля, дюбеля украсить декоративными шляпками. А можно как я сделала в арендной квартире? Я купила самоклеющуюся плёнку в Максидоме (бамбук) и приклеила её на стенку. Она глянцевая, хорошо моется и хорошо смотрится в живую. Плюс визуально расширяет мне пространство. Обошлось в копейку. У меня гостиная соединена с кухней огромной аркой. И задача была сделать кухню так, чтоб она на кухню не походила.

  • admin

    или спусти ее в угол

  • admin

    комнату 25 метров чуть уменьшить в площади, за счет этого сделать большую гардеробную в холле, куда Вы разместите все вещи.

  • admin

    1. Как найти воду на участке? Кроме ивовых прутиков какие есть методы со 100% результатом?;

  • admin

    cerrnika, гран мерси! Пошла искать «»Новую»»!

  • admin

    Добрый день! Помогите с выбором качественных точечных светильников! Посоветуйте проверенных производителей! Всех благодарю за ответы!