W32.Momib.A

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

77.824 байта

Признаки

При запуске создает следующие файлы - свои копии (%Windir% - установочная директория Windows):

  • %Windir%\EXPLORAR.exe
  • %Windir%\NETSVC.EXE
  • %Windir%\NETUI.exe
  • %Windir%\WINVER.exe
  • C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\WINSTART.exe
  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WINSTART.exe

Также создает файлы:

  • [Текущая_директория]\Windows Explorer.url
  • c:\a.txt
  • c:\msg.txt

Пытается удалить все содержимое директории с антивирусной базой Symantec:

  • C:\Program Files\Common Files\Symantec Shared\VirusDefs

Обеспечивает себе автозагрузку при старте Windows. Создает/модифицирует в реестре следующие записи:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\”Microsoft Net Driver” = “%Windir%\NETSVC.exe”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\”load” = “%Windir%\NETUI.EXE”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\”Shell” = “Explorer.exe %Windir%\WINVER.EXE”

Также создает в реестре запись:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\”ID” = “[ДД/ММ/ГГГГ]”

(Примечание: ДД/ММ/ГГГГ - день, месяц и год)

Отключает “Диспетчер задач”, модифицируя запись в реестре:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr” = “1″

Может открывать в “Блокноте” файл c:\msg.txt.

Содержимое файла:

*** I M P O R T A N T M E S S A G E ***
——————————————
ALL DATA [слово скрыто] on your computer
—————— SORRY ——————
* tHe pIrAcY kIllEr *

После открытия файла пытается перезаписать и удалить все файлы и директории на всех дисках.В корень дисков копирует файл c:\msg.txt как Piracy.txt.

Копирует на все диски себя под именем Mobimb.exe, создавая там же - в корне -файл автозапуска autorun.inf.

Содержимое файла autorun.inf:

[AutoRun]
open=mobimb.exe
shell\open\Command=mobimb.exe
shell\open\Default=1
shell\explore\Command=mobimb.exe

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на съемные и сетевые диски. Может удалять файлы на захваченном компьютере.