ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Autoruner.784

(WORM_VB.DAM, W32/Autorun.worm.g (McAfee), W32.SillyDC (Symantec), Worm/Delf.FPW, W32/Autorun.worm.g, TR/Autorun.yy, Virus.Win32.AutoRun.yy, Virus.Win32.AutoRun.yy (Kaspersky), Win32/Delf.NEG (NOD32))

Добавлен в вирусную базу Dr.Web: 2007-10-30

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: Win95/98/Me/NT/2000/XP/2003

Размер: 192 512 байт

Упакован: UPX

Техническая информация

  • При запуске создаёт копию исходного файла в системном каталоге Windows: %WINDIR%\system32\mshost.exe.

  • Для обеспечения запуска созданной копии при каждом старте Windows, в зависимости от типа Windows, регистрирует её как системную службу с отображаемым именем Portable Media Serial Number Service (WmdmPmSN) (для Win NT-based) или в файле win.ini, путём добавления параметра run=C:\WINDOWS\system32\mshost.exe (для Win9x/Me).

  • На обнаруженных сменных носителях создает свою копию и файл autorun.inf. Имя файла-носителя может быть следующим:

    Content.exe
    ShellStart.exe
    OpenShell.exe
    AutoRun.exe
    AutoPlay.exe
    AutoFlash.exe

  • Ищет на дисках каталог Documents and Settings\All Users\Главное меню\Программы\Автозагрузка и создает там копию исходного файла. Имя файла может быть одним из тех, которые указаны в списке выше.

  • Определяет версию Windows по системным файлам на дисках и осуществляет попытки зарегистрировать свою копию в файле win.ini в параметр run с именем smhost.exe.

  • При инфицировании системы устанавливает создаваемым копиям дату создания больше текущей на случайное число дней (от 30 до 90). Это будет время срабатывания его деструктивной функции.

  • При наступлении установленной даты осуществляет поиск на всех дисках файлов с расширениями:

    .asc
    .doc
    .rar
    .zip
    .cab
    .ace
    .arj
    .jar
    .dot
    .xl
    .xlt
    .xll
    .xlk
    .xls
    .xla
    .xml
    .csv
    .txt
    .tab
    .mdb
    .mda
    .mde
    .mdw
    .adp
    .ade
    .dbf
    .db
    .dat
    .data
    .odc
    .udl
    .dsn
    .sql
    .bak

    и, при обнаружении таковых, удаляет, предварительно перезаписав их следующим текстом:

    Скупой платит дважды, а вы трижды!
    Скупой платит дважды, а вы трижды!
    Скупой платит дважды, а вы трижды!

    Затем записывает по 64 Kбайт случайных данных в начало каждого диска.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".