ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Facebook.133

(WORM_KOOBFACE.X, TR/Agent.covi, Worm:Win32/Koobface.gen!D , W32/Koobface.worm.gen.f, W32/Koobface.worm.gen.g, Trojan.Win32.Agent.covi, DR/Koobface.AEJ, Downloader-EV, Parser error, TROJ_AGENT.AWOR, Win32.Worm.Koobface.ADX, Packed.Win32.Krap.r, Win32.Worm.Koobface.ADQ, W32/Koobface.worm.gen.e, Trojan-Downloader.Win32.Injecter.ddo, Net-Worm.Win32.Koobface.anq, W32.Koobface.A, Worm/Koobface.ADX, Generic Dropper.ho, WORM_KOOBFACE.DF)

Добавлен в вирусную базу Dr.Web: 2009-07-06

Описание добавлено:

Способ распространения

Сетевой червь Win32.HLLW.Facebook.133, распространяется в популярных соц. сетях в виде ссылки, при активации которой происходит переход на веб-страницу, содержащую вредоносный видео-ролик. При попытке просмотра которого пользователю предлагается установить дополнительное ПО.

Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Facebook.133 система проверяется на заражение, путем проверки наличия вируса в системном каталоге %WINDIR% и если система уже заражена процесс завершается. Если же система не заражена червь создает копию самого себя в %WINDIR%\ld12.exe, после этого создает bat-файл в %WINDIR%\567788.bat, который производит удаление исполняемого файла установщика.

Далее запускается на выполнение исполняемый файл из %WINDIR%\ld12.exe, который создает ключ системного реестра HKCU\\Software\Microsoft\Windows\CurrentVersion\Run\sysldtray, для автозагрузки вируса при старте системы. После этого удаляется ключ реестра HKCU\AppEvents\Schemes\Apps\Explorer\Navigating. После этого осуществляется поиск в папке по умолчанию для хранения cookies от браузера Internet Explorer, файлов с сookies для следующих соц. сетей:

  • facebook.com
  • myspace.com
  • twitter.com
  • hi5.com
  • netlog.com
  • tagged.com
  • bebo.com

Проверяется наличие соединения с интернетом методом обращения к странице google.com, если приходит ответ значит соединение с интернетом есть. Далее происходит обращение "POST [имя сайта]/achcheck.php" по следующем адресам:

  • uprtrishest.com
  • rd040609-cgpay.net
  • trisem.com
  • upr0306.com

После того, как будет получен ответ ACH_OK, на сервер с которого он был получен передаются информация о найденных файлах с сookies. Передача осуществляется при помощи POST-запроса на адрес [имя сайта]/ld/gen.php. Выглядит это так:

  • ck= [facebook cookie]
  • c_fb= [facebook cookie]
  • c_ms= [myspace cookie]
  • c_hi= [hi5 coockie]
  • c_tw= [twitter cookie]
  • c_be= [bebo cookie]
  • c_tg= [tagged cookie]
  • c_nl= [netlog cookie]

Червь Win32.HLLW.Facebook.133 скачивает из интернет и устанавливает на зараженную систему следующие вирусы:

  • Trojan.DownLoad.36180
  • Trojan.MulDrop.32092
  • Trojan.Siggen.2397