PDA

Просмотр полной версии : Описание вирусов: Email-Worm.Win32.Rays



Зайцев Олег
23.08.2005, 20:42
Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.
Вирус размножается двумя путями - по почте и через расшаренные ресурсы. Иконка файла внешне очень похожа на иконку папки (судя по всему это она и есть), что может ввести пользователя в заблужение и он щелкнет по файлу, желая зайти в эту "папку"
В момент запуска выдает на экран сообщение "This file has been damage!" и завершает работу. Но перед выдачей сообщения он копирует исполняемый файл в папку Windows под именем Mstray.exe. В случае запуска под именем Windows\Mstray.exe он стартует без всяких сообщений и висит в памяти, никак не выдавая своего присутствия. Маскировки процесса не применяет.
После запуска вирус создает в корне диска C файлы comment.htt и desktop.ini. desktop.ini ссылается на comment.htt, а comment.htt содержит скрипт, запускающий вирус. Кроме того, вирус меняет настроки explorer -
Microsoft\Windows\CurrentVersion\Explorer\Advanced \Hidden := 0
Microsoft\Windows\CurrentVersion\Explorer\Advanced \HideFileExt := 1
Microsoft\Windows\CurrentVersion\Explorer\CabinetS tate\fullpath := 1
параметр HideFileExt ему важен, чтобы быть похожим на папку (этот папаметр приводит к отключению отображения расширения файлов), а Hidden = 0 запрещает показ скрытых файлов.
Затем вирус создает ключ автозапуска Run\RavTimXP = C:\WINDOWS\FONTS\BYY.exe, копирует себя в файл BYY.exe и самоуничтожается на старом месте. Через какое-то время он копирует себя в C:\WINDOWS\HELP\DBBXY.exe, C:\WINDOWS\TEMP\WUUR.exe ... (фрагменты путей прошиты в exe файле, при каждом старте он проводит данную процедуру, причем имя все время меняется) - т.е. такие "исчезновения" и появления на новом месте под новым именем явно призваны запутать пользователя и замаскировать файл. Правда, ключ автозапуска неизменный - Run\RavTimXP, так что смысл от этого шаманства остался туманным.
Как почтовый вирус он размножается типовым образом, через почтового клиента - это я уже проверять не стал.

Inna
13.09.2007, 18:47
Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?

Rene-gad
13.09.2007, 18:52
@Inna
Все просьбы о лечении компьютеров только тут (http://virusinfo.info/forumdisplay.php?f=46). Обязательно выполните правила (http://virusinfo.info/announcement.php?f=46&a=3).

ВодкуГлыть
14.09.2007, 12:42
Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?
Инна, просканируйте диски на компьютере любым антивирусом - с rays сейчас они все прекрасно справляются.

stopka2top
20.09.2007, 16:03
Ну не все антивирусы зачищают файлы comment.htt и desktop.ini .
Коллеги можно своё описание (дополнение) по этой гадости выложить.

PavelA
20.09.2007, 16:04
Выкладывай. Посмотрим, может покритикуем.

stopka2top
20.09.2007, 17:36
Сами инфицированые файлы AVZ 4.27 обнаруживает ,но VBscript их создающий
нет.
Функционирование (заражение присходит как при автозапуске со сменных носителей, использование Проводника в качестве файлового менеджера)
На локальных дисках образуется (изменяется) файл "desktop.ini"
содержащий строку "file:\\comment.htt" или http:\\comment.htt"(забыл какую точно).
А тот содержит в своём коде фрагмент "winfile" создающий exeшник с
именем изменяющимся в зависимости имени папки в которой comment.htt находится .

Иконка файла внешне очень похожа да таже самая.
И похоже имеется возможность внедрения в картинку формата jpg (или так джойнером склеивают).Так тоже ловил.
В классификации drweb это Wukill
P .S. winfile на VBscript что значит.?(не добавление расширения exe)
P .P .S. а где про backdoor.monsh (в классификации Drweb) можно написать?(W32.Xema.A на странице http://83.149.99.14/forums/index.php?showtopic=20628&pid=286986&st=0&#entry286986)

anton_dr
21.09.2007, 12:43
а где про backdoor.monsh
В этом разделе в новой теме.

Inna
25.09.2007, 19:23
У меня стоит антивирус касперского но он не может вылечить вирус.Подскажите что нибудь еще.

SuperBrat
25.09.2007, 19:39
Аккуратно и вдумчиво выполните правила (ссылка) (http://virusinfo.info/showthread.php?t=1235) и откройте тему в разделе "Помогите". Профессионалы вам помогут.