Уязвимые ОС: Win NT-based
Размер: 7 680 байт
Упакован: -
- Может распространяться как самостоятельная программа либо как составная часть других вредоносных программ.
- При запуске созадаёт несколько копий своего исходного файла:
%Systemroot%\system32\WinAvXX.exe,
%Systemroot%\system32\printer.exe,
%USERPROFILE%\Start Menu\Programs\Startup\system.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe
- Регистирует свою копию %Systemroot%\system32\WinAvXX.exe и %Systemroot%\system32\printer.exe в секции автопуска системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
WinAVX = "%Systemroot%\system32\WinAvXX.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WinAVX = "%Systemroot%\system32\WinAvXX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = "Explorer.exe C:\WINDOWS\system32\printer.exe" - Блокирует запуск Диспетчера задач и программ для работы с реестром - Regedit.exe и Regedt32.exe.
- Вносит в файл hosts (%Systemroot%\system32\drivers\etc) список сайтов ряда производителей антивирусных средств защиты информации, серверов обновлений антивирусов,для блокировки доступа к ним:
www3.ca.com
www.virustotal.com
www.viruslist.ru
www.viruslist.com
www.trendmicro.com
www.symantec.com
www.symantec.com
www.sophos.com
www.pandasoftware.com
www.networkassociates.com
www.nai.com
www.my-etrust.com
www.microsoft.com
www.mcafee.com
www.kaspersky.ru
www.kaspersky.com
www.kaspersky-labs.com
www.grisoft.com
www.fastclick.net
www.f-secure.com
www.ca.com
www.awaps.net
www.avp.ru
www.avp.com
www.avp.ch
windowsupdate.microsoft.com
virustotal.com
virusscan.jotti.org
viruslist.ru
viruslist.com
vil.nai.com
us.mcafee.com
updates5.kaspersky-labs.com
updates4.kaspersky-labs.com
updates3.kaspersky-labs.com
updates2.kaspersky-labs.com
updates1.kaspersky-labs.com
updates.symantec.com
update.symantec.com
trendmicro.com
symantec.com
support.microsoft.com
spd.atdmt.com
sophos.com
service1.symantec.com
securityresponse.symantec.com
secure.nai.com
rads.mcafee.com
phx.corporate-ir.net
pandasoftware.com
office.microsoft.com
norton.com
networkassociates.com
nai.com
my-etrust.com
msdn.microsoft.com
microsoft.com
media.fastclick.net
mcafee.com
mast.mcafee.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
kaspersky.com
kaspersky-labs.com
ids.kaspersky-labs.com
go.microsoft.com
ftp.sophos.com
ftp.kasperskylab.ru
ftp.f-secure.com
ftp.downloads3.kaspersky-labs.com
ftp.downloads2.kaspersky-labs.com
ftp.downloads1.kaspersky-labs.com
ftp.avp.ch
fastclick.net
f-secure.com
engine.awaps.net
downloads4.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads.microsoft.com
downloads-us3.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
download.microsoft.com
download.mcafee.com
dispatch.mcafee.com
customer.symantec.com
clicks.atdmt.com
click.atdmt.com
ca.com
banners.fastclick.net
banner.fastclick.net
awaps.net
avp.ru
avp.com
avp.ch
atdmt.com
ar.atwola.com
ads.fastclick.net
ad.fastclick.net
ad.doubleclick.net
- Для обхода межсетевого экрана Windows вносит %Systemroot%\system32\WinAvXX.exe в список доверенных приложений.
- Модифицирует настройки браузера Internet Explorer, понижая уровень безопасности для всех категорий настроек, разрешает установку расширений BHO, а также блокирует вызов "Панели управления", в результате чего в меню "Пуск" нет возможности вызвать "Панель управления". Кроме того, блокирует работу Windows Update.
- Подменяет стартовую страницу Internet Explorer на http://www.google.com
- Периодически выводит на экран предупреждающее о якобы несанкционированных действиях операционной системы с предложением скачать и установить средство антивирусной защиты:
В случае утвердительного ответа со стороны пользователя происходит скачивание программы-загручика, определяемого Dr.Web как Trojan.Fakealert.352
1. Для восстановления работоспосбности Панели управления необходимо вызвать редактор реестра Regedit и установить значение:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel: 0x00000000
2. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
3. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
4. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
5. Очистить файл hosts (%Systemroot%\system32\drivers\etc) от внесённых червём записей.
6.Перезагрузить компьютер.
