Как удалить стену вконтакте сразу всю: Как быстро удалить все записи со стены «ВКонтакте»

Удаляет файл AUTORUN.INF для автоматического выполнения копий, которые он сбрасывает, когда пользователь обращается к дискам уязвимой системы.

Запрещает пользователям посещать антивирусные веб-сайты, содержащие определенные строки. Он удаляет первоначально выполненную копию самого себя.

Сведения о поступлении

Этот червь поступает через съемные носители.

Он попадает в систему в виде файла, сброшенного другими вредоносными программами, или в виде файла, неосознанно загруженного пользователями при посещении вредоносных сайтов.

Установка

Этот червь сбрасывает в зараженную систему следующие свои копии:

• %User Profile%\Application Data\{случайные символы}.exe

папка профиля текущего пользователя, обычно это C:\Windows\Profiles\{имя пользователя} в Windows 98 и ME, C:\WINNT\Profiles\{имя пользователя} в Windows NT и C:\Documents and Settings\{ имя пользователя} в Windows 2000, XP и Server 2003.

Autostart Technique

Этот червь добавляет следующие записи в реестр для обеспечения автоматического выполнения при каждом запуске системы:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{имя файла вредоносного ПО} = «%User Profile% \Application Data\{имя файла вредоносного ПО}.exe»

Распространение

Этот червь создает следующие папки на всех съемных дисках:

• {буква диска}:\RECYCLER

Сбрасывает следующие свои копии на все съемные диски:

• {буква диска}:\RECYCLER\{случайные символы}.exe

Сбрасывает файл AUTORUN.INF для автоматического выполнения его копий падает, когда пользователь обращается к дискам уязвимой системы.

Указанный файл .INF содержит следующие строки:

[AutoRun]
;{мусорные символы}
shellexecute=RECYCLER\{имя вредоносного файла}.exe
;{мусорные символы}
icon=shell32.dll,7
;{мусорные символы}
shell\open\command=RECYCLER\{имя файла вредоносного ПО}. exe
;{мусорные символы}
action=Открыть папку для просмотра файлов
;{мусорные символы}
shell\explore\command=RECYCLER \{имя файла вредоносного ПО}.exe
;{мусорные символы}
useautoplay=1

Он отправляет сообщения, содержащие ссылки на сайты, на которых размещены его удаленные копии, используя следующие приложения для обмена мгновенными сообщениями (IM):

• Windows Live Коммуникатор
• MSN Messenger
• Pidgin
• mIRC

Backdoor Routine

Этот червь подключается к следующим URL-адресам для отправки и получения команд от удаленного злоумышленника:

70BLOCKED}tf4004.com .com
• {BLOCKED}6.com
• {BLOCKED}6.com
• {BLOCKED}5.com

Прочие сведения

Этот червь подключается к следующим URL-адресам систем, чтобы получить зараженные системы. IP-адрес:

• http://api.wipmania.com/

Он запрещает пользователям посещать веб-сайты, связанные с антивирусами, которые содержат следующие строки:

• avast.
• авира.
• битдефендер.
• защитный кожух.
• Кламав.
• комодо.
• Эмсисофт.
• Эсет.
• f-защита.
• Фортинет.
• гарыш.
• gdatasoftware.
• heck.tc
• iseclab.
• Йотти.
• Касперский.
• лавасофт.
• вредоносных байтов.
• Макафи.
• Норман.
• нортон.
• новирус спасибо.
• onecare.live.
• онлайн-сканер вредоносных программ.
• пандабезопасность.
• точная безопасность.
• софос.
• программное обеспечение для солнечных лучей.
• Symantec
• угрозэксперт.
• трендмикро.
• вирскан. Вирус
• .
• вирусбустер.nprotect.
• вирусчиф.
• вирустотал.
• веб-сайт.

Удаляет изначально выполненную копию самого себя

ПРИМЕЧАНИЯ:

Этот червь отслеживает действия зараженной системы в Интернете, чтобы украсть учетные данные пользователя, если пользователь посещает веб-сайты со следующими строками:

• *&пароль=*
• *.
  moneybookers.*/*login.pl
• *1and1.com/xml/config*
• *4shared.com/логин*
• *:2082/логин*
• *:2083/логин*
• *:2086/логин*
• *:2222/CMD_LOGIN*
• *alertpay.com/логин*
• *aol.*/*логин.psp*
• *bcointernacional*логин*
• *bebo.*/c/home/ajax_post_lifestream_comment
• *bebo.*/c/profile/comment_post.json
• *bebo.*/mail/MailCompose.jsp*
• *большая строка.*/*index.php*
• *клава=*
• *depositfiles.*/*/логин*
• *dotster.com/*логин*
• *dyndns*/счет*
• *enom.com/логин*
• *facebook.*/ajax/*MessageComposerEndpoint.php*
• *facebook.*/ajax/chat/send.php*
• *facebook.*/login.php*
• *фастмейл.*/почта/*
• *fileserv.com/логин*
• *filesonic.com/*логин*
• *FLN-пароль=*
• *freakshare.com/логин*
• *другстер.*/rpc.php
• *другстер.*/sendmessage. php*
• *gmx.*/*Логин формы*
• *godaddy.com/логин*
• *google.*/*ServiceLoginAuth*
• *hackforums.*/member.php
• *hotfile.com/логин*
• *letitbit.net*
• *login.live.*/*post.srf*
• *логин.пароль=*
• *логин.yahoo.*/*логин*
• *login_pass=*
• *логин_пароль=*
• *ЛогинПароль=*
• *loginUserPassword=*
• *mediafire.com/*логин*
• *megaupload.*/*логин*
• *члены*.iknowthatgirl*/члены*
• *members.brazzers.com*
• *moniker.com/*Логин*
• *namecheap.com/*логин*
• *netflix.com/*ogin*
• *netload.in/index*
• *нет ip*/логин*
• *officebanking.cl/*логин.asp*
• *oron.com/логин*
• *па=*
• *пароль=*
• *Пароль=*
• *Пароль=*
• *пароль]=*
• *paypal.*/webscr?cmd=_login-submit*
• *pw=*
• *runescape*/*weblogin*
• *экранное имя. aol.*/логин.psp*
• *secure.logmein.*/*проверка входа*
• *sendspace.com/логин*
• *сервис=youtube*
• *signin.ebay*Войти
• *sms4file.com/*/signin-do*
• *speedyshare.com/логин*
• *steampowered*/логин*
• *текстовое полепароль=*
• *thepiratebay.org/логин*
• *torrentleech.org/*логин*
• *twitter.*/*direct_messages/new*
• *twitter.*/*статус*/обновление*
• *twitter.com/sessions
• *txtpass=*
• *txtPassword=*
• *uploaded.to/*логин*
• *uploading.com/*логин*
• *vip-file.com/*/signin-do*
• *vkontakte.ru/api.php
• *vkontakte.ru/mail.php
• *vkontakte.ru/wall.php
• *webnames.ru/*user_login*
• *what.cd/логин*
• *whcms*дологин*
• *youporn.*/логин*
• bebo Комментарий
• bebo Лайфстрим
• bebo Сообщение
• клава
• комментарий
• Электронная почта
• Имя электронной почты
• Обмен мгновенными сообщениями в Facebook
• Сообщение в Facebook
• FLN-пароль
• FLN-имя пользователя
• Друзья Комментарий
• Сообщение для друзей
• Приветствие друзей
• логин
• логин. Пароль
• логин.Пользователь
• логин[пароль]
• логин[имя пользователя]
• логин_электронная почта
• логин_пароль
• логин_пароль
• логин
• логин
• Логин Пароль
• ЛогинИмяПользователя
• ЛогинПользователь Пароль
• Сообщение
• сообщение_текст
• numeroTarjeta
• Пароль
• Пароль
• быстрый_пароль
• quick_username
• псевдоним
• сессия[пароль]
• сеанс[username_or_email]
• приветствие
• статус
• Текстовое поле Электронная почта
• Пароль текстового поля
• токен
• Сообщение в Твиттере
• Твиттер Твиттер
• txtEmail
• txtpass
• текстовый пароль
• текстовый пользователь
• идентификатор пользователя
• имя пользователя
• Чат вконтакте
• сообщение вконтакте
• Стена вконтакте

Пытается украсть учетные данные пользователя, используемые на следующих веб-сайтах:

• 1and1
• 4общий
• Алертпей
• Банко Интернэшнл
• Бебо
• Большая строка
• Браззерс
• Депозитные файлы
• Дотстер
• ДинДНС
• Фейсбук
• Быстрая почта
• Файловый сервер
• Файлосоник
• Фрикшер
• Френдстер
• Gmail
• Годадди
• Хакфорумы
• Горячий файл
• IKnowThatGirl
• Летитбит
• Вход в систему
• Медиафайр
• Мегазалив
• Манибукерс
• Прозвище
• Недорогое имя
• Нетфликс
• Сетевая нагрузка
• ОфисБанковское дело
• PayPal
• Рунический пейзаж
• Отправить пространство
• Sms4file
• Спидишер
• Пар
• Пиратская бухта
• Торрентлич
• Твиттер
• Загружено
• Загрузка
• Vip-файл
• Вконтакте
• Веб-имена
• Что
• Яху
• Юпорн
• Ютуб

Отслеживает следующие браузеры:

• Flock
• Гугл Хром
• Internet Explorer
• Мозилла Фаерфокс
• Опера

Имеет следующие возможности бэкдора:

Другие детали

Он перехватывает следующие API, чтобы скрыть себя и помочь своим процедурам:

• CopyFileA
• КопиФайлВ
• СоздатьФайлА
• УдалитьФайлА
• УдалитьФайлВ
• DnsFree
• DnsQuery_A
• DnsQuery_W
• GetAddrInfoW
• HttpSendRequestA
• HttpSendRequestW
• ИнтернетWriteFile
• МовеФайлА
• Переместить файлW
• NtEnumerateValueKey
• Нткуеридиректорифиле
• PR_Write
• РегКреатеКейЭксА
• РегКреатеКейЭксВ
• URLDownloadToFileA
• URLDownloadToFileW

Он удаляет файлы ярлыков, указывающие на его копию на съемных дисках. Эти удаленные файлы .LNK используют имена папок, расположенных на указанных дисках, в качестве имен файлов. Затем он устанавливает атрибуты исходных папок на Hidden , чтобы заставить пользователя щелкнуть файлы .LNK.

Шаг 1

Для пользователей Windows XP и Windows Server 2003: перед выполнением сканирования обязательно отключите Восстановление системы , чтобы разрешить полное сканирование компьютера.

Шаг 2

Сканирование вашего компьютера с помощью файлов микро -продукта и примечаний тренда, обнаруженные как Worm_dorkbot.SS

Шаг 3

Перезагрузка в безопасном режиме

[Узнайте больше]

Шаг 4

[Узнайте больше]

. Удалите это значение реестра

[Подробнее]

Важно: Неправильное редактирование реестра Windows может привести к необратимому сбою системы. Пожалуйста, выполняйте этот шаг, только если вы знаете, как это сделать, или вы можете обратиться за помощью к системному администратору. В противном случае перед изменением реестра компьютера сначала ознакомьтесь с этой статьей Microsoft.

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {malware file name} = %User Profile%\Application Data\{malware file name}.exe
    

Step 5

Поиск и удаление этой папки

[Подробнее]

Убедитесь, что установлен флажок Искать скрытые файлы и папки в разделе Дополнительные параметры, чтобы включить все скрытые папки в результаты поиска.

• {буква диска}:\RECYCLER

Шаг 6

1. Откройте командную строку.
   
   • Для пользователей Windows 2000 , Windows XP и Windows Server 2003 щелкните Пуск > Выполнить . В поле ввода «Открыть» введите CMD и нажмите Enter.
2. В консоли CMD введите следующее:

   ATTRIB [+R | -R] [+А | -А] [+S | -S] [+H | -Ч] [+Я | -I] [диск:][путь][имя файла] [/S [/D] [/L]]

   Где:
   + Устанавливает атрибут.
   — очищает атрибут
   R Атрибут файла только для чтения
   Атрибут архивного файла
   S Атрибут системного файла
   H Атрибут скрытого файла
   I Атрибут индексированного файла без содержимого
   [диск:] [путь] [имя файла]
   Указывает файл или файлы для обработки атрибута
   /S Обрабатывает совпадающие файлы в текущей папке и во всех вложенных папках.
   /D Обрабатывает папки
   /L Работа над атрибутами символической ссылки по сравнению с целью символической ссылки
   Пример:
   Чтобы отобразить все файлы и папки (включая подпапки) на диске D:
   ATTRIB –H D:\* /S /D
   

3. Повторите шаг 2 для папок и файлов на других дисках или в других каталогах.

Шаг 7

Найдите и удалите этот файл

[ Подробнее ]

Некоторые файлы компонентов могут быть скрыты. Убедитесь, что вы установили флажок Поиск скрытых файлов и папок в опции Дополнительные параметры, чтобы включить все скрытые файлы и папки в результаты поиска.

• {буква диска}:\{имя папки}.lnk

Шаг 8

Поиск и удаление AUTORUN.INF файлов, созданных WORM_DORKBOT.SS, содержащих эти строки 2 9 20 Подробнее