# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Описание вирусов: Email-Worm.Win32.Rays

## Зайцев Олег

Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.
Вирус размножается двумя путями - по почте и через расшаренные ресурсы. Иконка файла внешне очень похожа на иконку папки (судя по всему это она и есть), что может ввести пользователя в заблужение и он щелкнет по файлу, желая зайти в эту "папку"
В момент запуска выдает на экран сообщение "This file has been damage!" и завершает работу. Но перед выдачей сообщения он копирует исполняемый файл в папку Windows под именем Mstray.exe. В случае запуска под именем Windows\Mstray.exe он стартует без всяких сообщений и висит в памяти, никак не выдавая своего присутствия. Маскировки процесса не применяет.
После запуска вирус создает в корне диска C файлы comment.htt и desktop.ini. desktop.ini ссылается на comment.htt, а comment.htt содержит скрипт, запускающий вирус. Кроме того, вирус меняет настроки explorer - 
Microsoft\Windows\CurrentVersion\Explorer\Advanced  \Hidden := 0 
Microsoft\Windows\CurrentVersion\Explorer\Advanced  \HideFileExt := 1 
Microsoft\Windows\CurrentVersion\Explorer\CabinetS  tate\fullpath := 1 
параметр HideFileExt ему важен, чтобы быть похожим на папку (этот папаметр приводит к отключению отображения расширения файлов), а Hidden = 0 запрещает показ скрытых файлов.
Затем вирус  создает ключ автозапуска Run\RavTimXP = C:\WINDOWS\FONTS\BYY.exe, копирует себя в файл BYY.exe и самоуничтожается на старом месте. Через какое-то время он копирует себя в C:\WINDOWS\HELP\DBBXY.exe, C:\WINDOWS\TEMP\WUUR.exe ... (фрагменты путей прошиты в exe файле, при каждом старте он проводит данную процедуру, причем имя все время меняется) - т.е. такие "исчезновения" и появления на новом месте под новым именем явно призваны запутать пользователя и замаскировать файл. Правда, ключ автозапуска неизменный - Run\RavTimXP, так что смысл от этого шаманства остался туманным.
Как почтовый вирус он размножается типовым образом, через почтового клиента - это я уже проверять не стал.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Inna

Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?

----------


## Rene-gad

@Inna
Все просьбы о лечении компьютеров только тут. Обязательно выполните правила.

----------


## ВодкуГлыть

> Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?


Инна, просканируйте диски на компьютере любым антивирусом - с rays сейчас они все прекрасно справляются.

----------


## stopka2top

Ну не все антивирусы зачищают файлы comment.htt и desktop.ini .
Коллеги можно своё описание (дополнение) по этой гадости выложить.

----------


## PavelA

Выкладывай. Посмотрим, может покритикуем.

----------


## stopka2top

Сами инфицированые файлы AVZ 4.27 обнаруживает ,но VBscript их создающий
нет.
Функционирование (заражение присходит как при автозапуске со сменных носителей, использование Проводника в качестве файлового менеджера)
На локальных дисках  образуется (изменяется) файл "desktop.ini"
содержащий строку "file:\\comment.htt" или http:\\comment.htt"(забыл какую точно).
А тот содержит в своём коде фрагмент "winfile" создающий exeшник с
именем изменяющимся  в зависимости имени папки в которой comment.htt находится .



> Иконка файла внешне очень похожа


 да таже самая.
И похоже имеется возможность внедрения в картинку формата jpg (или так джойнером склеивают).Так тоже ловил.
В классификации drweb это Wukill
P .S. winfile на VBscript что значит.?(не добавление расширения exe)
P .P .S. а где про backdoor.monsh (в классификации Drweb) можно написать?(W32.Xema.A на странице http://83.149.99.14/forums/index.php...0&#entry286986)

----------


## anton_dr

> а где про backdoor.monsh


В этом разделе в новой теме.

----------


## Inna

У меня стоит антивирус касперского но он не может вылечить вирус.Подскажите что нибудь еще.

----------


## SuperBrat

Аккуратно и вдумчиво выполните правила (ссылка) и откройте тему в разделе "Помогите". Профессионалы вам помогут.

----------

