• 蠕虫。Zimuse的。艮是删除实用程序为目标的Zimuze恶意软件感染。

    恶意软件作为一个应用程序因图标中以欺骗用户进入运行。 看起来更加作为一个自解压的归档,它显示了一个对话框要求一个密码,以便成功地解所包含的内容。

    一旦执行程序检查的命令行参数和如果有一个开关'/Z',然后就进行中删除所有的文件,所有注册的钥匙它的所有服务创造了在一个以前的感染。

    如果没有消毒开关给出的那么它将采取以下行动:

    *它检查,如果它是落在启动时运行,通过检查存在的一个关键命名为'倾倒'在HKLMSOFTWAREMicrosoftWindowsCurrentversionrun的。

    *如果以前没有感染到那么它会感染的计算机。

    感染的计算机,包括:

    *删除的文件

    -%system32%driversmstart.sys 和创建和运行服务的称为'mstart'从这个文件;

    -%program-files%Dumpdump.exe"

    -%Temp%的垃圾场。ini

    -%Temp%Regini.exe

    -%system32%driversmstart.sys

    -%system32%driversmseu.sys

    -%Temp mseu的。ini(用于安装的mseu.sys 服务)

    -%system32%mseus.exe

    -%Temp mseus的。ini(用于安装的mseus.exe 服务)

    -%system32%okset.dll

    -%system32%ainf的。inf

    -%Temp%instdrv.exe (这是一个干净的文件,用于安装服务)

    -%system_drive%IQTestiqtest.exe (在某些版本)

    -%system_drive%IQTest eadme.txt (在某些版本)

    *套dump.exe 文件的下降前的运行在启动时(这是标志的感染)

    *删除以下文件(这是用于服务安装)

    -%Temp%Regini.exe

    -%Temp%的垃圾场。ini

    -%Temp mseu的。ini

    -%Temp mseus的。ini

    -%Temp%instdrv.exe

    恶意软件是不活跃的第10天(第一变)和7日(第二种变体). 在此之后的时期,从目前的感染,它进行到感染的所有u盘连接的计算机使用的典型自动运行的。inf技术。

    40天以后从的感染(第一变)和20日(第二种变体)的恶意软件和复盖的MBR(主启动记录)与垃圾的呈现的计算机联合国启动。

  • Worm.Zimuse.Gen हटाने की उपयोगिता को लक्षित करता है कि Zimuze मैलवेयर संक्रमण है ।

    मैलवेयर के रूप में आता है एक आवेदन के साथ एक WinZip में आइकन के क्रम में उपयोगकर्ता चाल चल रहा है । देखने के लिए और भी अधिक के रूप में एक self-extracting संग्रह यह प्रदर्शित करता है एक संवाद बॉक्स में एक पासवर्ड के लिए पूछ करने के लिए आदेश में सफलतापूर्वक पैकेज खोलना सामग्री.

    एक बार मार डाला आवेदन की जाँच करता है कमांड लाइन पैरामीटर और अगर वहाँ है एक स्विच 'Z', तो यह करने के लिए आय से संबंधित सभी फाइलों को सभी रजिस्ट्री कुंजी और सभी सेवाओं यह बनाया गया है पिछले एक संक्रमण के दौरान.

    अगर कोई कीटाणुशोधन स्विच दिया जाता है, तो यह निम्न क्रियाएँ लेता है:

    * यह जाँच करता है, तो यह निर्धारित करने के लिए स्टार्टअप पर चलाने के ऊपर, के द्वारा जाँच की उपस्थिति में एक प्रमुख नाम पर 'डंप' में HKLMSOFTWAREMicrosoftWindowsCurrentversionrun.

    * यदि कोई पिछला संक्रमण पाया जाता है, तो यह संक्रमित कंप्यूटर है.

    संक्रमण के कंप्यूटर में होते हैं:

    * छोड़ने फ़ाइलें

    - %system32%driversmstart.sys और बनाता है और चलाता है एक सेवा का नाम है 'mstart' इस फ़ाइल से;

    - %program-files%Dumpdump.exe"

    - %अस्थायी%डंप.ini

    - %Temp%Regini.exe

    - %system32%driversmstart.sys

    - %system32%driversmseu.sys

    - %अस्थायी%mseu.ini (इस्तेमाल की स्थापना के लिए mseu.sys सेवा)

    - %system32%mseus.exe

    - %अस्थायी%mseus.ini (इस्तेमाल की स्थापना के लिए mseus.exe सेवा)

    - %system32% okset.dll

    - %system32%ainf.inf

    - %Temp%instdrv.exe (जो है, एक साफ फाइल करने के लिए स्थापित सेवाओं)

    - %system_drive%IQTestiqtest.exe (कुछ संस्करणों में)

    - %system_drive%IQTest eadme.txt (कुछ संस्करणों में)

    * सेट dump.exe फाइल गिरा दिया इससे पहले स्टार्टअप पर चलाने के लिए (यह ध्वज का संक्रमण)

    * हटाता निम्न फ़ाइलें (इस्तेमाल किया गया है जो सेवाओं के लिए instalation)

    - %Temp%Regini.exe

    - %अस्थायी%डंप.ini

    - %अस्थायी%mseu.ini

    - %अस्थायी%mseus.ini

    - %Temp%instdrv.exe

    मैलवेयर के लिए निष्क्रिय है पहले 10 दिनों (प्रथम संस्करण) और 7 दिन (दूसरा संस्करण). इस के बाद समय की अवधि, संक्रमण के क्षण से, यह करने के लिए आय संक्रमित usb ड्राइव से जुड़ा कंप्यूटर का उपयोग कर शास्त्रीय autorun.inf तकनीक है ।

    40 दिनों के बाद संक्रमण से (प्रथम संस्करण) और 20 दिनों का है (दूसरा संस्करण) malware चला जाता है और उन लोगों के लिए एमबीआर (मास्टर बूट रिकॉर्ड) के साथ कचरा प्रतिपादन कंप्यूटर को संयुक्त राष्ट्र बूट करने योग्य है ।

  • Worm.Zimuse.Gen is a removal utility that targets the Zimuze malware infection.

    The malware comes as an application with a WinZip icon in order to trick the user into running it. To look even more as a a self-extracting archive it displays a dialog box asking for a password in order to successfully unzip the package contents.

    Once executed the application checks the command line parameters and if there is a switch '/Z' then it proceeds to delete all the files , all the registry keys it and all the services it has created during a previous infection.

    If no disinfection switch is given then it takes the following actions:

    * it checks if it's set to run at startup up, by checking the presence of a key named 'Dump' in HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun.

    * if no previous infection is found then it infects the computer.

    Infection of the computer consists in:

    * dropping the files

    - %system32%driversmstart.sys and creates and runs a service named 'mstart' from this file;

    - %program-files%Dumpdump.exe"

    - %Temp%Dump.ini

    - %Temp%Regini.exe

    - %system32%driversmstart.sys

    - %system32%driversmseu.sys

    - %Temp%mseu.ini (used for installation of mseu.sys service)

    - %system32%mseus.exe

    - %Temp%mseus.ini (used for installation of mseus.exe service)

    - %system32% okset.dll

    - %system32%ainf.inf

    - %Temp%instdrv.exe (which is a clean file used to install services)

    - %system_drive%IQTestiqtest.exe (in some versions)

    - %system_drive%IQTest eadme.txt (in some versions)

    * sets dump.exe file dropped earlier to run at startup (this is the flag of infection)

    * deletes the following files (which were used for services instalation)

    - %Temp%Regini.exe

    - %Temp%Dump.ini

    - %Temp%mseu.ini

    - %Temp%mseus.ini

    - %Temp%instdrv.exe

    The malware is inactive for the first 10 days (first variant) and 7 days (second variant). After this period of time, from the moment of infection, it proceeds to infect all usb drives attached to the computer using the classical autorun.inf technique.

    After 40 days from the infection (first variant) and 20 days (second variant) the malware goes and overwrites the MBR (master boot record) with garbage rendering the computer un-bootable.