Vispat.Червяк написать сложно

Червь Vispat.A распространяется довольно быстро и вносит множество изменений в зараженные компьютеры, что значительно затрудняет удаление вредоносного ПО.

Vispat.Червь распространяется по электронной почте. Червь пересылает собственный файл на адреса электронной почты в адресной книге Outlook Express. Чтобы заставить его работать, он даже создает новый почтовый ящик для отправки почты.

Vispat.A создает множество новых записей в реестре и изменяет существующие ключи или значения еще в большем количестве мест. Это изменит некоторые настройки в Windows и попытается скрыть себя как можно лучше. Вредоносная программа периодически запускает Internet Explorer, который отображает веб-страницу, а затем загружает файл из Интернета.

При запуске червь Vispat.A выполняет следующие действия:

1. Создайте следующие файлы:
% System% \ dllconfig \ cache \ dllcache.exe

2. Добавьте следующую запись в базу данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "dllcache.exe" = "% System% \ dllconfig \ cache \ dllcache.exe"

3. Измените следующую запись в регистрационной базе данных:
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main «Стартовая страница» = «[http: //] www.internet-explorer.name/»

4. Добавьте следующие записи в базу данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ coppiastrana.com
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ coppiastrana.com \ www »*» = «0x00000002»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ google-hard.com
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ google-hard.com \ www »*» = «0x00000002»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ visateresa.biz
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ ZoneMap \ Domains \ visateresa.biz \ www »*» = «0x00000002»

5. Измените следующие записи в базе данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ MinLevel »=« 0x00000000 »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ RecommendedLevel »=« 0x00000000 »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1001 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1004 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1200 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1201 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1400 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1402 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1405 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1406 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1407 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1609 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1800 ″ = «0x00000000»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Internet Settings \ Zones \ 2 ″ 1803 ″ = «0x00000000»

6. Внесите следующие изменения в регистрационную базу данных:
HKEY_CURRENT_USER \ software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced «Скрытый» = «0»
HKEY_CURRENT_USER \ software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "ShowSuperHidden" = "0"
HKEY_CURRENT_USER \ software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "SuperHidden" = "0"

7. Создайте каталог и откройте Internet Explorer. Затем он загружает веб-страницу.

8. Измените следующие записи в регистрационной базе данных.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\MyComputer\NameSpace\{16C7013F-912E-42ac-A A8E-A10A180DFF51}
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A1 80DFF51}”Default” = “Foto Brasile”
HKEY_CLASSES_ROOT \ CLSID \ {16C7013F-912E-42ac-AA8E-A10A1 80DFF51} \ DefaultIcon «По умолчанию» = «% SystemRoot% \ System32 \ shell32.dll, 127 ″ HKEY_CLASSES_ROOT \ C LSID \ A 16C7013F-AAF912E-Shell Открыть "Мое меню" "Command" = "C: \ Program Files \ Internet Explorer \ iexplore.exe http://google-hard.com

9. Измените реестр, чтобы создать новый почтовый ящик в Outlook Express:
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″SpellDontIgnoreDBCS” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″MSIMN” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″StoreMigratedV5″ = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″ConvertedToDBX” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″Settings Upgraded” = “0x00000007”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″Running” = “0x00000001”
HKEY_CURRENT_USER \ Identities \ {43AECEA6-69DE-474B-AC86-21D837FC310A} \ Software \ Microsoft \ Outlook Express \ 5.0 ″ корневой каталог хранилища »=«% UserProfile% \ Local Settings \ Application Data \ Identities \ {43AECEA6-69DE-474B-AC86 -21D837FC310A} \ Mic rosoft \ Outlook Express »
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Welcome Message” = “0x00000000”
HKEY_CURRENT_USER \ Identities \ {43AECEA6-69DE-474B-AC86-21D837FC310A} \ Software \ Microsoft \ Outlook Express \ 5.0 \ Mail «Учетные записи проверены» = «00 00 00 00»
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Safe Attachments” = “0x00000001”
HKEY_CURRENT_USER \ Identities \ {43AECEA6-69DE-474B-AC86-21D837FC310A} \ Software \ Microsoft \ Outlook Express \ 5.0 \ Mail «Безопасные безопасные вложения» = «0x00000001»
HKEY_CURRENT_USER \ Identities \ {43AECEA6-69DE-474B-AC86-21D837FC310A} \ Software \ Microsoft \ Outlook Express \ 5.0 \ News "Учетные записи проверены" = "00 00 00 00"
HKEY_CURRENT_USER \ Software \ Microsoft \ WAB \ WAB4 \ Wab File Name ”Default” = «% UserProfile% \ Application Data \ Microsoft \ Address Book \% USERNAME% .wab»
HKEY_CURRENT_USER \ Software \ Microsoft \ WAB \ WAB4 ″ OlkCont actRefresh »=« 0x00000000 »
HKEY_CURRENT_USER \ Software \ Microsoft \ WAB \ WAB4 ″ OlkFold erRefresh »=« 0x00000000 »
HKEY_CURRENT_USER \ Software \ Microsoft \ WAB \ WAB4 ″ FirstRu n »=« 0x00000001 »

10. Создайте следующие ярлыки или ярлыки:
% UserProfile% \ Desktop \ Internet Explorer.lnk
% UserProfile% \ Desktop \ VM18.lnk
% UserProfile% \ Start Menu \ Hard Explorer.lnk
% UserProfile% \ Start Menu \ Ultimi siti visitati.lnk

11. Загрузите файл из Интернета и сохраните его следующим образом:
% Windows% \ Загруженные программные файлы \ login.exe

12. Создайте следующий файл:
% System% \ scansvc \ trust \ mpeg-video03.exe

13. Измените следующую запись в регистрационной базе данных:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "mpeg-video03.exe" = "% System% \ scansvc \ trust \ mpeg-video03.exe"

14. Перенаправить себя на адреса в адресной книге Outlook Express.

Тема зараженных листьев:
Indagine Private

Имя файла, прикрепленного к зараженному почтовому вложению:
mpeg-video00 [одна цифра] .zip.