Trojan.VBS.Carewmr

Carewmr jest niebezpiecznym koniem troja艅skim stworzonym przy pomocy j臋zyka programowania VBS. Szkodnik podszywa si臋 pod darmow膮 aplikacj臋 antywirusow膮 CLRAV stworzon膮 przez firm臋 Kaspersky Lab. Trojan usuwa zawarto艣膰 folderu C:Windows.

Po uruchomieniu trojan wy艣wietla nast臋puj膮ce komunikaty:

"Welcome to CLRAV of Kaspersky Labs, 
press OK or Accept to Start scanning your computer.

ERROR!, Code error:3212552, please execute this tool in MS-DOS.

Thank You for prefer Kaspersky Labs Products

Nast臋pnie szkodnik ustawia witryn臋 http://www.avp.ru jako stron臋 startow膮 przegl膮darki internetowej. 1 wrze艣nia trojan wy艣wietla nast臋puj膮cy komunikat:

Mr.Carew vuelve otra vez!!, jaja

Dodatkowo szkodnik usuwa nast臋puj膮ce klucze rejestru systemowego:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunSystemTray
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunAVPCC
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunNAVW32
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunTrueVector
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunoneAlarm Pro

Wirus tworzy na dysku zainfekowanego komputera wiele plik贸w oraz folder贸w.

Tworzone pliki:

  • C:Norton2003isbad_preferKAVORAVP
  • C:AVP
  • C:NAV
  • C:CHILE
  • C:TEMUCO
  • C:MCAFEE
  • C:ENTELPCS
  • C:GSM1900MHZ
  • C:SONYERICSSON
  • C:CAREFULLY_WHIT_ME
  • C:YOUR_PC_IS_VERY_BAD
  • C:I HATE MELINA
  • C:VBS.CarewMR.a
  • C:Windows is a real virus?
  • C:MELINA_TE_ODIO_MUERETE!
  • C:WindowsXP
  • C:Windows3.11
  • C:Windows98SE
  • C:WindowsME
  • C:Windows 95
  • C:WindowsNT
  • C:Windows2000
  • C:TELLCELL S.A
  • C:PORN
  • C:ORAL_SEX
  • C:BIN_LADEN_FUCKYOU
  • C:ICQ
  • C:PANDA
  • C:NOD32
  • C:TREND
  • C:PC-CILLIN
  • C:AvpM.exe
  • C:Kaspersky_AntiVirus_PersonalPRO_THEBEST!!!!!
  • C:Norton_thePOOR
  • C:Madonna_Sucking_my_dick.avi
  • C:Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja
  • C:THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_PRODUCE:POSITIVES-FALSES

Tworzone foldery:

  • C:Symantec
  • C:KasperskyLabs
  • C:PandaSoftware
  • C:TrendMicro
  • C:Eset-Nod-fucked

Ponadto trojan tworzy plik tekstowy o nazwie CLRAV_Report.log zawieraj膮cy nast臋puj膮cy tekst:

Due an error, Code error:3212552, 
CLRAV has not disinfect your computer
For Support please send a e-mail to 
support@kaspersky.com and please 
indicate the Code Error.