Показано с 1 по 10 из 10.

Описание вирусов: Email-Worm.Win32.Rays

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Описание вирусов: Email-Worm.Win32.Rays

    Вирус Email-Worm.Win32.Rays представляет собой исполняемый файл размером 49152 байта. Написан на Basic, ничем не сжат и не зашифрован. В теле вируса виден ряд строк в формате Unicode.
    Вирус размножается двумя путями - по почте и через расшаренные ресурсы. Иконка файла внешне очень похожа на иконку папки (судя по всему это она и есть), что может ввести пользователя в заблужение и он щелкнет по файлу, желая зайти в эту "папку"
    В момент запуска выдает на экран сообщение "This file has been damage!" и завершает работу. Но перед выдачей сообщения он копирует исполняемый файл в папку Windows под именем Mstray.exe. В случае запуска под именем Windows\Mstray.exe он стартует без всяких сообщений и висит в памяти, никак не выдавая своего присутствия. Маскировки процесса не применяет.
    После запуска вирус создает в корне диска C файлы comment.htt и desktop.ini. desktop.ini ссылается на comment.htt, а comment.htt содержит скрипт, запускающий вирус. Кроме того, вирус меняет настроки explorer -
    Microsoft\Windows\CurrentVersion\Explorer\Advanced \Hidden := 0
    Microsoft\Windows\CurrentVersion\Explorer\Advanced \HideFileExt := 1
    Microsoft\Windows\CurrentVersion\Explorer\CabinetS tate\fullpath := 1
    параметр HideFileExt ему важен, чтобы быть похожим на папку (этот папаметр приводит к отключению отображения расширения файлов), а Hidden = 0 запрещает показ скрытых файлов.
    Затем вирус создает ключ автозапуска Run\RavTimXP = C:\WINDOWS\FONTS\BYY.exe, копирует себя в файл BYY.exe и самоуничтожается на старом месте. Через какое-то время он копирует себя в C:\WINDOWS\HELP\DBBXY.exe, C:\WINDOWS\TEMP\WUUR.exe ... (фрагменты путей прошиты в exe файле, при каждом старте он проводит данную процедуру, причем имя все время меняется) - т.е. такие "исчезновения" и появления на новом месте под новым именем явно призваны запутать пользователя и замаскировать файл. Правда, ключ автозапуска неизменный - Run\RavTimXP, так что смысл от этого шаманства остался туманным.
    Как почтовый вирус он размножается типовым образом, через почтового клиента - это я уже проверять не стал.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Inna
    Guest

    Worm.Win32.Rays

    Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    @Inna
    Все просьбы о лечении компьютеров только тут. Обязательно выполните правила.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    155
    Цитата Сообщение от Inna Посмотреть сообщение
    Я купила новый компьютер,а фотографии со старого загрузила на диск.Когда хотела их просмотреть обнаружилось что они заражены вирусом Email Worm.Win32.Rays.Как мне просмотреть или распечатать фотографии чтобы не заразить компьютер?
    Инна, просканируйте диски на компьютере любым антивирусом - с rays сейчас они все прекрасно справляются.
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

  6. #5
    Junior Member Репутация
    Регистрация
    19.09.2007
    Адрес
    Пермский край
    Сообщений
    42
    Вес репутации
    61
    Ну не все антивирусы зачищают файлы comment.htt и desktop.ini .
    Коллеги можно своё описание (дополнение) по этой гадости выложить.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выкладывай. Посмотрим, может покритикуем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    19.09.2007
    Адрес
    Пермский край
    Сообщений
    42
    Вес репутации
    61
    Сами инфицированые файлы AVZ 4.27 обнаруживает ,но VBscript их создающий
    нет.
    Функционирование (заражение присходит как при автозапуске со сменных носителей, использование Проводника в качестве файлового менеджера)
    На локальных дисках образуется (изменяется) файл "desktop.ini"
    содержащий строку "file:\\comment.htt" или http:\\comment.htt"(забыл какую точно).
    А тот содержит в своём коде фрагмент "winfile" создающий exeшник с
    именем изменяющимся в зависимости имени папки в которой comment.htt находится .
    Иконка файла внешне очень похожа
    да таже самая.
    И похоже имеется возможность внедрения в картинку формата jpg (или так джойнером склеивают).Так тоже ловил.
    В классификации drweb это Wukill
    P .S. winfile на VBscript что значит.?(не добавление расширения exe)
    P .P .S. а где про backdoor.monsh (в классификации Drweb) можно написать?(W32.Xema.A на странице http://83.149.99.14/forums/index.php...0&#entry286986)
    Последний раз редактировалось stopka2top; 21.09.2007 в 08:07. Причина: косметика

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от stopka2top Посмотреть сообщение
    а где про backdoor.monsh
    В этом разделе в новой теме.

  10. #9
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    1
    Вес репутации
    61
    У меня стоит антивирус касперского но он не может вылечить вирус.Подскажите что нибудь еще.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Аккуратно и вдумчиво выполните правила (ссылка) и откройте тему в разделе "Помогите". Профессионалы вам помогут.
    Опыт — это слово, которым люди называют свои ошибки.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 26.11.2009, 22:39
  2. Email-Worm.Win32.Rays и возможно другие вирусы
    От Florans в разделе Помогите!
    Ответов: 19
    Последнее сообщение: 22.02.2009, 01:40
  3. Email-Worm.Win32.Rays в папке C:\WINDOWS
    От Ulcer в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 26.12.2007, 23:54
  4. Описание вирусов: Email-Worm.Win32.Bagle.fy - червь с руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 07.09.2006, 20:29
  5. Описание вирусов: Net-Worm.Win32.Padobot.z с встроенным руткитом
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 06.08.2005, 15:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00827 seconds with 17 queries