Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLP.Jeefo.36352

(Virus:Win32/Jeefo.A, W32/Hidrag.a, Win32/Hidrag.A, W32/Jeefo, TROJ_FLOOD.AF, Virus.Win32.Hidrag.a, Virus:Win32/Jeefo.F.dam#2, Win32.HLLP.Jeefo, BackDoor-AVW, Mal_MLWR-24, W32/Hidrag.C, W32/Jeefo.dr, Packed.Win32.Klone.av, Win32/Jeefo.I, Win32.Jeefo.Dropper, Virus:Win32/Jeefo.A (Microsoft), Win32/Jeefo.L, BackDoor.Generic5.IJC, BackDoor-CZP.dr, Win32.Jeefo.A.dam, Virus.Win32.Hidrag.d (Kaspersky), W32/Sdbot.worm.gen.x, TROJ_Generic.DIS)

Добавлен в вирусную базу Dr.Web: 2003-07-10

Описание добавлено:

Тип вируса: Паразитический вирус

Уязвимые ОС: Win 95/98/Me/NT/2000/XP/2003

Размер: 36 352 байт

Упакован: -

Техническая информация

  • Написан на языке программирования C++
  • При запуске создаёт копию исходного файла %WINDIR%\svchost.exe
  • Регистрирует %WINDIR%\svchost.exe как службу. В зависимости от версии ОС Windows, делает это следующим образом:
    В Win NT-based отображаемое имя службы "PowerManager", а в Win 9x:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

    PowerManager=%WINDIR%\svchost.exe

    При этом, в Win 9x процесс svchost.exe прячется из Диспетчера задач с помощью функции RegisterServiceProcess.

  • Тело вируса модифицируется таким образом, что в конце файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле в %Systemroot%\system32\svchost.exe.
  • После этого Win32.HLLP.Jeefo.36352 запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного исполняемого файла, а также его параметры командной строки. После этого выполнение программы завершается для для лечения запустившегося инфицированного исполняемого файла.
  • Запущенный "вирусный" svchost.exe анализирует параметры командной строки. В случае, если таковые есть, то Win32.HLLP.Jeefo.36352 лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия Win32.HLLP.Jeefo.36352 уже выполняется, процесс завершает свою работу.
  • Win32.HLLP.Jeefo.36352 заражает все исполняемые файлы на всех логических дисках. Исключение составляют файлы, если они защищёны, не имеют графического интерфейса (GUI), их размер составляет меньше 100 Кбайт. Кроме того, Win32.HLLP.Jeefo.36352 повторно не заражает файлы. Заражённость файлов определяет по зашифрованным строковым данным - "Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/". Кроме того, у инфицированных файлов Win32.HLLP.Jeefo.36352 на время заражения снимается атрибут "Только для чтения" и не изменяется время создания файла, записи и последнего доступа к файлу. Помимо этого вирус зашифровывает и меняет местами некоторые данные файла.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".