Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Dabber

(ADSPY/Mirar.G.1, Net-Worm.Win32.Dabber.c, Backdoor:Win32/Sdbot, PAK_Generic.001, Worm/Generic.JP, Email-Worm.Win32.Svoy.a, WORM_DABBER.C, Worm/Svoy.C, Generic.dx, W32/Svoy.worm.gen, Win32/Malagent, Worm/Generic.JO, I-Worm/Svoy.C, WORM_DABBER.A, Worm/Daper.A, Generic.SBB, I-Worm/Svoy.A, Win32/Dabber.C, Worm/Dabber.A, Net-Worm.Win32.Dabber.a, Worm.Rubank.B, Worm.Win32.Dabber.a, Worm.Dabber.A, WORM_DAPER.A, Win32.Worm.Dabber.A, Win32.Svoy.A@mm)

Добавлен в вирусную базу Dr.Web: 2004-05-14

Описание добавлено:

Описание

Win32.HLLW.Dabber интернет-червь, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Червь написан на языке программирования высокого уровня Microsoft Visual C++. Упакован компрессионной утилитой UPX.
Размер червя в упакованном виде составляет 29 696 байт.

Червь распространяется на компьютерах инфицированных почтовым червем массовой рассылки Sasser.
Поселившись в системе, открывает люк по порту 9898.
Удаляет многочисленные данные в ключах системного реестра, внесенные туда другими вредоносными программами.

Запуск вируса

Для обеспечения своего автоматического запуска при каждом начале работы пользователя в Windows червь прописывает путь к своей копии в следующем ключе системного реестра
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
sassfix = %SysDir%\\package.exe

Распространение

В поисках зараженных червем Sasser систем червь сканирует подсети через порт TCP\\5554. Для проникновения на такие компьютеры, червь использует уязвимость в компоненте червя Sasser - его реализации FTP сервера.

Действия

Будучи активированным, червь помещает в системную директорию (в Windows 9x и Windows ME это C:\\\\Windows\\\\System, в Windows NT/2000 это C:\\\\WINNT\\\\System32, в Windows XP это C:\\\\Windows\\\\System32) свою копию package.exe. Такую же копию червь помещает по адресу С:\\\\Documents and Settings\\\\All Users\\\\Start Menu\\\\Programs\\\\Startup.

Чтобы избежать повторного инфицирования системы своими копиями червь создает семафор sas4dab.

Инфицировав компьютер, червь открывает порт 9898. Открытый люк приводит к компрометации системы и позволяет нападающему осуществлять на компьютере различные действия, несанкционированные ее пользователем.

Поселившись в системе, червь удаляет данные, внесенные в системный реестр другими вредоносными программами.

  • Удаляет данные
    avserve 
    avserve2.exe 
    avvserrve32 
    BagleAV 
    drvddll.exe 
    Drvddll.exe 
    Drvddll_exe 
    drvsys 
    drvsys.exe 
    Generic Host Service 
    Gremlin 
    lsasss 
    lsasss.exe 
    MapiDrv 
    Microsoft Update 
    navapsrc.exe 
    skynetave.exe 
    SkynetRevenge 
    soundcontrl 
    ssgrate 
    ssgrate.exe 
    System Updater Service 
    Taskmon 
    TempCom 
    Video 
    Video Process 
    Window 
    windows 
    Windows Drive Compatibility 
    WinMsrv32 
    
    из реестровых записей
    HKEY_CURRENT_USER\\\\.DEFAULT\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
    HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices
    HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
    HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run