"Доктор Веб" сообщает об опасном вирусе

*globalmoney* · 16.08.2006, 14:22

"Доктор Веб" сообщает об опасном вирусе

Служба вирусного мониторинга компании «Доктор Веб» сообщила о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

Техническая информация:

Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку,
модифицируя системный реестр:

В Win9x:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
load=rundl132.exe

В WinNT/2000/XP:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=rundl132.exe

Завершает процессы:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe

Вирус Ссканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

Создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом
Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.

На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.

cybersecurity

16.08.2006, 14:22	#1 (permalink)
globalmoney Администратор Регистрация: 04.08.2005 Сообщений: 722	"Доктор Веб" сообщает об опасном вирусе "Доктор Веб" сообщает об опасном вирусе Служба вирусного мониторинга компании «Доктор Веб» сообщила о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir. Техническая информация: Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр: В Win9x: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run load=rundl132.exe В WinNT/2000/XP: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows load=rundl132.exe Завершает процессы: EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE Ravmond.EXE RavMon.exe Вирус Ссканирует все локальные и сетевые диски, ресурсы общего доступа, ищет .exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее. Создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли. На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их. cybersecurity*

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Powered by vBulletin® Version 3.8.7 Copyright ©2000-2024, Jelsoft Enterprises Ltd. Copyright ©2005-2024, GlobalMoney.ru Перевод: zCarot

Sponsored Links