Worm.Runonce.Win32.160

Worm.Runonce.Win32.160 – Хробак, що ррозповсюджується по E-mail, а також інфікує EXE файли. Являє собою EXE файл. розмір файлу ~12 Кбайт, написаний на мові C++.

Методи розповсюдження

розповсюджується через Інтернет у вигляді вкладень в електронні листи. Також зараження може відбутися при запуску інфікованого EXE, Html або Htm файлу на локальному комп'ютері.

Впровадження в систему

Після  запуску, хробак копіює своє тіло в папку Windows\System32 під ім'ям runouce.exe

Для автоматичного запуску при кожному запуску системи хробак додає наступний ключ реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
 Runonce="%System%\runouce.exe

Хробак шукає на локальному диску файли, що виконуються, Windows PE(EXE) і заражає їх, додаючи своє тіло в кінець файлу й змінюючи початкову точку входу.

Також  хробак шукає на локальному диску  HTML і HTM файли й модифікує  їх, додаючи в кінець кожного файлу шкідливий код на мові Javascript.  У папках з HTML файлами хробак створює файли з ім'ям readme.eml.

Коли користувач відкриває заражений  HTM або HTML файл - виконується шкідливий Javascript, який запускає файл readme.eml,  який э копією електронного повідомлення (e-mail) що містить вірус.

Деструктивні дії

Хробак сканує локальні текстові файли для пошуку адрес E-Mail. Після чого розсилає по всіх знайдених адресах електронні листи із прикріпленою копією свого тіла.

рекомендації з лікування

Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.