# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Email-Worm.VBS.Agent.j  - вирус, удаляющий файлы на диске

## Зайцев Олег

Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке писька указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.

Вывод - не стоит запускать EXE неизвестного предназначения, скачанные из Инет ....

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## KarpEn

Мне тоже пришла открытка. Я еще засомневался сначала...  :Smiley:  Поэтому решил сначала сюда прийти почитать. Даже две. Одна от мэйл.ру, другая от хттп://www.dlyatebya.info. Вот скажите, каким образом он запускается? Стоит пройти по ссылке, и он уже начнет свою деятельность?

----------


## Alex_Goodwin

По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.

----------


## Jolly Rojer

> По ссылке ходить не стоит. Мне тоже сегодня одна пришла... В теле письма видна одна ссылка- реально другая. Так, что лучше не ходите, м.б. там exploit.


Тоже такая же пришла ссылочка...

----------


## Dei777

Люди я кажется поймал этот вирус. Он затер 60 гигов что делать :Sad:  :Shocked:

----------


## borka

> Люди я кажется поймал этот вирус. Он затер 60 гигов что делать


Прочитать Правила.

----------


## Dei777

Я вирус убил. Как файлы восстановить. Есле сложно сказать то писать прочитай или посмотри не надо. Буду искать у других.

----------


## anton_dr

Файлы, если у вас был именно данный экземпляр, никак не восстановить. Для уточнения, что именно было у вас, выполните Правила

----------


## Dei777

Разабрался без вас. Читайти свои правила сами. :Roll Eyes (Sarcastic):

----------


## anton_dr

Да пожалуйста. Вы обратились за помощью - вам рассказали, после каких действий с вашей стороны её можно получить.
Разобрались сами - ну так это хорошо. У наших специалистов будет больше времени для помощи действительно нуждающимся в ней.

----------


## Vagon

А как обстоят дела с антивирусами обнаруживают этот вирус или нет???Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.Спасибо.

----------


## priv8v

в ЛК (Лаборатория Касперского) этот зловред знают 100% - за остальные же антивирусные компании столь высокими процентами ручаться не берусь)

----------


## Гриша

Этому червяку 100 лет в обед,его все должны детектить...

----------


## Макcим

> Спрашиваю потому,чтобы быть готовым если подобный зловред попадёт мне на комп.


Делайте резервные копии. Лучшее средство профилактики.

----------


## makZzz

Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?

----------


## Зайцев Олег

> Короче кликнул на один такой файл в .vbs формате пропали все фотки, точнее стали таким же форматом и весят по 10кб. Что теперь делать незнаю, вот от очаяния решил написать сюда, может у кого есть какие идеи как вернуть память?


Вернуть память или картинки ? Образец VBS есть ? Картинки вернуть просто - с CD/DVD/флешки/мобильного HDD и или их аналога, который применялся для резерного копирования и содержит соответственно  их резервные копии.  Если резервных копий нет - то значит данные были ненужными ... (DVD балванка стоит копейки и при этом 4.5 Гб объемом - 2-3 дисков хватит для бытового бекапа). Если данные были нужными и не было резерных копий, то это тупик ... выход только один - срочно выключить ПК (каждая запись на HDD снижает вероятность и качество восстановления) и тащить HDD в контору по восстановлению данных или к знакомому системщику, который умеет это делать. Если повезет и специалист/контора опытные, то иногда данные спасти можно (при условии, что зловред не затирает их содержимое). Если содержимое затирается, то картинкам капут.

----------


## makZzz

Видимо капут картинкам =( Раньше был такой случай что форматнул и потер все файлы, все до единого получилось востоановить одной программой. Сейчас пробую находит почему то тока существующие и недавно мной удаленный (те же VBS в том числе ) обидно конечно что недодумался кинуть на болванку (

----------


## makZzz

вот 2 образца, две бывшие фотки  :Sad: 





> Результат загрузки
> Файл сохранён как 090904_080541_New Folder (2)_4aa09215e18d3.zip 
> Размер файла 20336 
> MD5 7293ccda65d6ef5790aa34c5f5967885

----------


## makZzz

Непонял я этой цитаты. Куда сохранен и что за размер такой?

----------


## pig

Куда надо - туда и сохранён. А цеплять к теме непонятно что, возможно, вредоносное - это моветон. Мало ли кто мимо проходящий скачает, запустит, а потом пожалуется в местное ФБР на распространение вредоносных программ.

----------


## makZzz

> Куда надо - туда и сохранён.


Да ты оптимист.
То что снесли мой образец мне фиолетово, главное что он попал именно к тому человеку кто в этом действительно разбераеться. Смысл в том что я не разбераюсь в его языке (хакерском, или как это назвать) поэтому и переспросил, а вот смысл в твоем сообщении я вобще невижу. Вот если ФБР (излешнее громко сказано) интересовала подобная ситуация то к тебе бы они обратились раньше, например по скачиванию нелегально музыкальных файлов да? Ну или по другой там причине...Мало ли кто скачивать бог знает что небудет, я можно сказать наоборот помогу мало ли кому, прочитает, скачает,посмотрит как и что они выглядит и небудет это открывать чтоб не случилась подобная проблема как у меня да? Вобщем мое любопыство не оставляет меня по поводу случевшегося и реально ну хоть чтонибуль вернуть?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## makZzz

ну так что точно ничего?

----------


## makZzz

up

----------

