ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.Generic.274

(W32/Generic.a@MM, Win32/Rusty.A!Worm, Generic.Malware.SN!.0D7453B1, W32.Rusty@m, Win32/Rustyw, WORM_RUSTY.A, I-Worm/Bodyh.A, Email-Worm.Win32.Rusty.a)

Добавлен в вирусную базу Dr.Web: 2004-02-20

Описание добавлено:

Описание

Win32.HLLM.Generic.274 - почтовый червь массовой рассылки. Написан на MS Visual Basic и упакован упаковщиком UPX. Размер исполняемого модуля червя в упакованном виде 18 944 байта, в распакованном - 90 112 байт.
Червь массово распространяется по электронной почте, используя функции MAPI.
Блокирует некоторые приложения и процессы.
Предпринимает попытки организации DoS-атак против веб-сайтов www.norton.com и www.microsoft.com.

Запуск вируса

Червь вносит изменения в следующие реестровые записи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    "(Default)" = "C:\WINDOWS\system32\NOTEPAD.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Crusty" = "C:\Program Files\dmcpl.exe"
что обеспечивает его запуск при каждом начале работы пользователя в Windows.

Распространение

После попадания в систему червь начинает рассылать себя, используя функции MAPI. Отправка писем осуществляется по всем адресам, обнаруженным им в локальной адресной книгеOutlook. Почтовое сообщение, инфицированное Win32.HLLM.Generic.274, обладает следующими характеристиками:

Тема сообщения может отсутствовать, либо выбираться из следующего списка: 

  
   Mail Delivery System 
   Check this out! 
   Important information for you. Read it immediately!
Текст сообщения может быть одним из следующих: 
   The message cannot be represented in 7-bit ASCII encoding and has been sent as a 
binary attachment 
   
   Hey, try this file that i've found yesterday, it's very useful!..check link 
   Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/Body,.Html.%65x%65
   
   see the attached file or go to 
   Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/TFAK.zip :D
Вложение может иметь следующее название: 
   AvPc AntiAv.exe 
   Body,.Html.exe
   doc.exe

Действия

Будучи активированным, червь создает в системе несколько файлов:

  • В директории Windows 
       C:\Windows\Start Menu\Programs\Startup\F-PROT.exe 
   C:\Windows\security\Emzy.exe 
   C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup\CPF9X206.exe 
   C:\Windows\doc.exe
  • В системной директории Windows 
       notepad.exe 
   SB4CW.exe
  • В корневой директории диска С:\ 
       AvPc AntiAv.exe
   Body,.Html.exe 
   ResHacker.exe
  • В директории C:\Program Files 
       WinRAR.exe 
   dmcpl.exe
  • В директории С:\Documents and Settings\All Users\Start menu\Programs\Startup\ 
       VPFW30S.exe
В случае отсутствия указанных директорий, копирование файлов не происходит.

Червь блокирует деятельность приложений и сервисов, в названиях окон которых есть строки: 

   Command Prompt 
   LiveUpdate 
   Norton AntiVirus 
   Norton AntiVirus Quarantine 
   PC DOOR GUARD MANAGER 
   Quarantine 
   Registry Editor 
   RegRun II 
   System Restore 
   Windows Explorer 
   Windows Task Manager
Червь предпринимает попытки организации DoS-атак против веб-сайтов www.norton.com и www.microsoft.com.