ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Kati

(TROJ_DLOADER.RMD, Trojan-Downloader.Win32.VB.bnp, Worm/VB.CN.27, W32/Autorun.worm.g, WORM_VB.ELL, System error, TROJ_DLOADER.EVR, IM-Worm.Win32.VB.cn, TROJ_DLOADER.ZCD, Trojan.Downloader.VB.VKV, W32/YahLover.worm.gen, Parser error, TR/Dldr.VB.bnp, Generic.dx, Downloader.VB.AIM, TR/Dldr.VB.bnp.6, I-Worm/VB.TG, Generic Downloader.a, Mal_SHND-4, TR/Dldr.VB.bnp.5)

Добавлен в вирусную базу Dr.Web: 2007-09-17

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: WinNT-based

Размер: 117 248 байт

Упакован: UPX

Техническая информация

  • Написан на языке программирования Visual Basic.

  • При своём запуске создаёт несколько копий исходного файла:
    %Systemroot%\System32\ctfmon.exe
    %Systemroot%\System32\рsagоr18.sys
    %Systemroot%\System32\АHTОMSYS19.exe
    %Systemroot%\System32\DETER177\smss.exe
    %Systemroot%\System32\DETER177\svсhоst.exe
    %Systemroot%\System32\DETER177\lsass.exe

    Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.

  • Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    lsass = %Systemroot%\System32\DETER177\lsass.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    сtfmоn.exe = %Systemroot%\system32\сtfmon.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

    Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe

  • Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло(((... вот, посмотри {ссылка на архив}".

  • Обладает функционалом работы с электронной почтой.

  • При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.

  • Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.

  • Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.

  • Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.

  • Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.