Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Sishen

(DR/Delphi.Gen, Trojan-GameThief.Win32.Magania.cei, Generic.dx, MemScan:Win32.Worm.Delf.BP, Trojan-Downloader.Win32.Agent.bja, Mal_Otorun5, Trojan-PSW.Win32.Magania.cei, Trojan:Win32/Agent.gen!J , Downloader.Delf.AQF, W32/Fujacks.ad, Backdoor:Win32/Sdbot, Generic.Malware.SP!VPk!g.AD73020C, Trojan.Downloader.Agent.BHD, W32/Fujacks.gen, TrojanDownloader:Win32/Agent, TR/Dldr.Delphi.Gen, TSPY_LEGMIR.AVS, Worm.Win32.Delf.NCN, Mal_Otorun9, Trojan.Downloader.Delf.NSC)

Добавлен в вирусную базу Dr.Web: 2007-02-02

Описание добавлено:

Тип вируса: Сетевой червь

Уязвимые ОС: Win NT-based

Размер: 53 760 байт

Упакован: UPX

Техническая информация

  • Может распространяться как самостоятельная программа или устанавливаться как результат работы других видов вредоносных программ. В частности, Win32.HLLW.Sishen может быть установлен на инфицированный компьютер червём Win32.HLLW.Autoruner.
  • При своём запуске создаёт копию своего тела в системном каталоге Windows (%Systemroot\system32\death.exe%), которую регистрирует в секции автозапуска системного реестра:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    Death.exe = "C:\WINDOWS\system32\Death.exe"

    HKEY_USERS\S-1-5-21-861567501-1677128483-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run

    Death.exe = "C:\WINDOWS\system32\Death.exe"

    Для сокрытия своего присутствия в инфицированной системе файлу Death.exe присваивается атрибут "Скрытый".

  • Постоянно находясь в оперативной памяти, Win32.HLLW.Sishen в бесконечном цикле проверяет наличие подмонтированного сменного диска. При обнаружении такового, создаёт на нём свои.
  • Создаёт файл Death.SiShen в системном каталоге Windows. При открытии такого диска в Проводнике происходит автоматический запуск червя. Однако
  • Пытается соединиться с удалёнными серверами для закачки дополнительных модулей вредоносных программ.
  • Сканирует компьютеры в локальной сети по протоколу NetBIOS, пытаясь "представиться" администратором. Для этого подбирает пароли из предварительно сохрананённого в корневом каталоге диска C:\ словаря - C:\pass.dic. Этому файлу также присваивается атрибут "Скрытый".
  • Вносит записи в файл host (%Systemroot\system32\drivers\etc%) для блокирования доступа к ним:

    127.0.0.1 localhost
    188.188.122.33 localhost
    dnl-us1.kaspersky-labs.com localhost
    dnl-us2.kaspersky-labs.com localhost
    dnl-us3.kaspersky-labs.com localhost
    dnl-us4.kaspersky-labs.com localhost
    dnl-us5.kaspersky-labs.com localhost
    dnl-us6.kaspersky-labs.com localhost
    dnl-us7.kaspersky-labs.com localhost
    dnl-us8.kaspersky-labs.com localhost
    dnl-us9.kaspersky-labs.com localhost
    dnl-us10.kaspersky-labs.com localhost
    dnl-us11.kaspersky-labs.com localhost
    dnl-us12.kaspersky-labs.com localhost
    dnl-us13.kaspersky-labs.com localhost
    dnl-us14.kaspersky-labs.com localhost
    dnl-us15.kaspersky-labs.com localhost
    dnl-us16.kaspersky-labs.com localhost
    dnl-us17.kaspersky-labs.com localhost
    dnl-us18.kaspersky-labs.com localhost
    dnl-us19.kaspersky-labs.com localhost
    dnl-us20.kaspersky-labs.com localhost
    update.jiangmin.info localhost
    update1.jiangmin.info localhost
    update2.jiangmin.info localhost
    update3.jiangmin.info localhost
    update4.jiangmin.info localhost
    update5.jiangmin.info localhost
    update6.jiangmin.info localhost
    update7.jiangmin.info localhost
    update8.jiangmin.info localhost
    update9.jiangmin.info localhost
    update10.jiangmin.info localhost
    update.jiangmin.com localhost
    update1.jiangmin.com localhost
    update2.jiangmin.com localhost
    update3.jiangmin.com localhost
    update4.jiangmin.com localhost
    update5.jiangmin.com localhost
    update6.jiangmin.com localhost
    update7.jiangmin.com localhost
    update8.jiangmin.com localhost
    update9.jiangmin.com localhost
    update10.jiangmin.com localhost
    edu.jiangmin.com localhost
    edu1.jiangmin.com localhost
    edu2.jiangmin.com localhost
    edu3.jiangmin.com localhost
    rsdownauto.rising.com.cn localhost

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue