Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Kati

(TROJ_DLOADER.RMD, Trojan-Downloader.Win32.VB.bnp, Worm/VB.CN.27, W32/Autorun.worm.g, WORM_VB.ELL, System error, TROJ_DLOADER.EVR, IM-Worm.Win32.VB.cn, TROJ_DLOADER.ZCD, Trojan.Downloader.VB.VKV, W32/YahLover.worm.gen, Parser error, TR/Dldr.VB.bnp, Generic.dx, Downloader.VB.AIM, TR/Dldr.VB.bnp.6, I-Worm/VB.TG, Generic Downloader.a, Mal_SHND-4, TR/Dldr.VB.bnp.5)

Добавлен в вирусную базу Dr.Web: 2007-09-17

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: WinNT-based

Размер: 117 248 байт

Упакован: UPX

Техническая информация

  • Написан на языке программирования Visual Basic.
  • При своём запуске создаёт несколько копий исходного файла:
    %Systemroot%\System32\ctfmon.exe
    %Systemroot%\System32\рsagоr18.sys
    %Systemroot%\System32\АHTОMSYS19.exe
    %Systemroot%\System32\DETER177\smss.exe
    %Systemroot%\System32\DETER177\svсhоst.exe
    %Systemroot%\System32\DETER177\lsass.exe

    Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.

  • Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    lsass = %Systemroot%\System32\DETER177\lsass.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    сtfmоn.exe = %Systemroot%\system32\сtfmon.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

    Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe
  • Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло(((... вот, посмотри {ссылка на архив}".
  • Обладает функционалом работы с электронной почтой.
  • При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.
  • Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.
  • Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.
  • Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.
  • Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2020

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А