Уязвимые ОС: Win NT-based
Размер: 53 760 байт
Упакован: UPX
- Может распространяться как самостоятельная программа или устанавливаться как результат работы других видов вредоносных программ. В частности, Win32.HLLW.Sishen может быть установлен на инфицированный компьютер червём Win32.HLLW.Autoruner.
- При своём запуске создаёт копию своего тела в системном каталоге Windows (%Systemroot\system32\death.exe%), которую регистрирует в секции автозапуска системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Death.exe = "C:\WINDOWS\system32\Death.exe"
HKEY_USERS\S-1-5-21-861567501-1677128483-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run
Death.exe = "C:\WINDOWS\system32\Death.exe"
Для сокрытия своего присутствия в инфицированной системе файлу Death.exe присваивается атрибут "Скрытый".
- Постоянно находясь в оперативной памяти, Win32.HLLW.Sishen в бесконечном цикле проверяет наличие подмонтированного сменного диска. При обнаружении такового, создаёт на нём свои.
- Создаёт файл Death.SiShen в системном каталоге Windows. При открытии такого диска в Проводнике происходит автоматический запуск червя. Однако
- Пытается соединиться с удалёнными серверами для закачки дополнительных модулей вредоносных программ.
- Сканирует компьютеры в локальной сети по протоколу NetBIOS, пытаясь "представиться" администратором. Для этого подбирает пароли из предварительно сохрананённого в корневом каталоге диска C:\ словаря - C:\pass.dic. Этому файлу также присваивается атрибут "Скрытый".
- Вносит записи в файл host (%Systemroot\system32\drivers\etc%) для блокирования доступа к ним:
127.0.0.1 localhost
188.188.122.33 localhost
dnl-us1.kaspersky-labs.com localhost
dnl-us2.kaspersky-labs.com localhost
dnl-us3.kaspersky-labs.com localhost
dnl-us4.kaspersky-labs.com localhost
dnl-us5.kaspersky-labs.com localhost
dnl-us6.kaspersky-labs.com localhost
dnl-us7.kaspersky-labs.com localhost
dnl-us8.kaspersky-labs.com localhost
dnl-us9.kaspersky-labs.com localhost
dnl-us10.kaspersky-labs.com localhost
dnl-us11.kaspersky-labs.com localhost
dnl-us12.kaspersky-labs.com localhost
dnl-us13.kaspersky-labs.com localhost
dnl-us14.kaspersky-labs.com localhost
dnl-us15.kaspersky-labs.com localhost
dnl-us16.kaspersky-labs.com localhost
dnl-us17.kaspersky-labs.com localhost
dnl-us18.kaspersky-labs.com localhost
dnl-us19.kaspersky-labs.com localhost
dnl-us20.kaspersky-labs.com localhost
update.jiangmin.info localhost
update1.jiangmin.info localhost
update2.jiangmin.info localhost
update3.jiangmin.info localhost
update4.jiangmin.info localhost
update5.jiangmin.info localhost
update6.jiangmin.info localhost
update7.jiangmin.info localhost
update8.jiangmin.info localhost
update9.jiangmin.info localhost
update10.jiangmin.info localhost
update.jiangmin.com localhost
update1.jiangmin.com localhost
update2.jiangmin.com localhost
update3.jiangmin.com localhost
update4.jiangmin.com localhost
update5.jiangmin.com localhost
update6.jiangmin.com localhost
update7.jiangmin.com localhost
update8.jiangmin.com localhost
update9.jiangmin.com localhost
update10.jiangmin.com localhost
edu.jiangmin.com localhost
edu1.jiangmin.com localhost
edu2.jiangmin.com localhost
edu3.jiangmin.com localhost
rsdownauto.rising.com.cn localhost
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
