ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Dabber

(ADSPY/Mirar.G.1, Net-Worm.Win32.Dabber.c, Backdoor:Win32/Sdbot, PAK_Generic.001, Worm/Generic.JP, Email-Worm.Win32.Svoy.a, WORM_DABBER.C, Worm/Svoy.C, Generic.dx, W32/Svoy.worm.gen, Win32/Malagent, Worm/Generic.JO, I-Worm/Svoy.C, WORM_DABBER.A, Worm/Daper.A, Generic.SBB, I-Worm/Svoy.A, Win32/Dabber.C, Worm/Dabber.A, Net-Worm.Win32.Dabber.a, Worm.Rubank.B, Worm.Win32.Dabber.a, Worm.Dabber.A, WORM_DAPER.A, Win32.Worm.Dabber.A, Win32.Svoy.A@mm)

Добавлен в вирусную базу Dr.Web: 2004-05-14

Описание добавлено:

Описание

Win32.HLLW.Dabber интернет-червь, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Червь написан на языке программирования высокого уровня Microsoft Visual C++. Упакован компрессионной утилитой UPX.
Размер червя в упакованном виде составляет 29 696 байт.

Червь распространяется на компьютерах инфицированных почтовым червем массовой рассылки Sasser.
Поселившись в системе, открывает люк по порту 9898.
Удаляет многочисленные данные в ключах системного реестра, внесенные туда другими вредоносными программами.

Запуск вируса

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь прописывает путь к своей копии в следующем ключе системного реестра
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
sassfix = %SysDir%\\package.exe

Распространение

В поисках зараженных червем Sasser систем червь сканирует подсети через порт TCP\\5554. Для проникновения на такие компьютеры, червь использует уязвимость в компоненте червя Sasser - его реализации FTP сервера.

Действия

Будучи активированным, червь помещает в системную директорию (в Windows 9x и Windows ME это C:\\\\Windows\\\\System, в Windows NT/2000 это C:\\\\WINNT\\\\System32, в Windows XP это C:\\\\Windows\\\\System32) свою копию package.exe. Такую же копию червь помещает по адресу С:\\\\Documents and Settings\\\\All Users\\\\Start Menu\\\\Programs\\\\Startup.

Чтобы избежать повторного инфицирования системы своими копиями червь создает семафор sas4dab.

Инфицировав компьютер, червь открывает порт 9898. Открытый люк приводит к компрометации системы и позволяет нападающему осуществлять на компьютере различные действия, несанкционированные ее пользователем.

Поселившись в системе, червь удаляет данные, внесенные в системный реестр другими вредоносными программами.

  • Удаляет данные 
    avserve 
avserve2.exe 
avvserrve32 
BagleAV 
drvddll.exe 
Drvddll.exe 
Drvddll_exe 
drvsys 
drvsys.exe 
Generic Host Service 
Gremlin 
lsasss 
lsasss.exe 
MapiDrv 
Microsoft Update 
navapsrc.exe 
skynetave.exe 
SkynetRevenge 
soundcontrl 
ssgrate 
ssgrate.exe 
System Updater Service 
Taskmon 
TempCom 
Video 
Video Process 
Window 
windows 
Windows Drive Compatibility 
WinMsrv32
    из реестровых записей 
    HKEY_CURRENT_USER\\\\.DEFAULT\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices
HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run