Довольно таки молодой вирус
Название по номенклатуре: Worm.Win32.Feebs.h
Семейство: Feebs
Размер файла:55 КБ
Инсталяция:
После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».
Например:
Также в системном каталоге Windows червь создает файл с именем «ms<2 произвольные буквы>32.dll».
Например:
Также червь создает следующие ключи реестра:
Распространение:
Через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Действие на систему:
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.
как обнаружить:
Тема письма:
Имя файла-вложения:
Выбирается из списка:
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
Название по номенклатуре: Worm.Win32.Feebs.h
Семейство: Feebs
Размер файла:55 КБ
Инсталяция:
После запуска червь копирует себя в системный каталог Windows с произвольным именем «ms<2 произвольные буквы>.exe» и «ms<2 произвольные буквы>».
Например:
Код:
%System%\msof.exe
%System%\msrlНапример:
Код:
%System%\mslv32.dll
Код:
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\dat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\sdat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\fdat]
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\ldat]
[HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32]
"@"="%System%\ms<2 произвольные буквы>32.dll"Распространение:
Через интернет в виде вложений в зараженные электронные письма, а также по сетям файлообмена.
Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Действие на систему:
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Worm.Win32.Feebs.h выгружает из системы различные межсетевые экраны и антивирусные программы.
как обнаружить:
Тема письма:
- Encrypted
- Extended
- Html
- Message
- Protected
- Secure
- Service
- System
Код:
Subject: happy new year
ID: <случайный номер>
Password: <случайный набор символов>
Best Regards, или Thank you,
<таже строка, что и в теме письма>,
<доменное имя из адреса отправителя>Выбирается из списка:
- data.zip
- mail.zip
- message.zip
- msg.zip
Червь создает свои копии во всех подкаталогах, содержащих в своем названии слово «Share» с именами выбираемыми из списка:
- 3dsmax_9_(3D_Studio_Max)_new!_full+crack.zip
- ACDSee_9_new!_full+crack.zip
- Adobe_Photoshop_10_(CS3)_new!_full+crack.zip
- Adobe_Premiere_9_(2.0_pro)_new!_full+crack.zip
- Ahead_Nero_8_new!_full+crack.zip
- DivX_7.0_new!_full+crack.zip
- ICQ_2006_new!_full+crack.zip
- Internet_Explorer_7_new!_full+crack.zip
- Kazaa_4_new!_full+crack.zip
- Longhorn_new!_full+crack.zip
- Microsoft_Office_2006_new!_full+crack.zip
- winamp_5.2_new!_full+crack.zip