Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Generic.274

(W32/Generic.a@MM, Win32/Rusty.A!Worm, Generic.Malware.SN!.0D7453B1, W32.Rusty@m, Win32/Rustyw, WORM_RUSTY.A, I-Worm/Bodyh.A, Email-Worm.Win32.Rusty.a)

Добавлен в вирусную базу Dr.Web: 2004-02-20

Описание добавлено:

Описание

Win32.HLLM.Generic.274 - почтовый червь массовой рассылки. Написан на MS Visual Basic и упакован упаковщиком UPX. Размер исполняемого модуля червя в упакованном виде 18 944 байта, в распакованном - 90 112 байт.
Червь массово распространяется по электронной почте, используя функции MAPI.
Блокирует некоторые приложения и процессы.
Предпринимает попытки организации DoS-атак против веб-сайтов www.norton.com и www.microsoft.com.

Запуск вируса

Червь вносит изменения в следующие реестровые записи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    "(Default)" = "C:\WINDOWS\system32\NOTEPAD.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "Crusty" = "C:\Program Files\dmcpl.exe"
что обеспечивает его запуск при каждом начале работы пользователя в Windows.

Распространение

После попадания в систему червь начинает рассылать себя, используя функции MAPI. Отправка писем осуществляется по всем адресам, обнаруженным им в локальной адресной книгеOutlook. Почтовое сообщение, инфицированное Win32.HLLM.Generic.274, обладает следующими характеристиками:

Тема сообщения может отсутствовать, либо выбираться из следующего списка:

  
   Mail Delivery System 
   Check this out! 
   Important information for you. Read it immediately!
    
Текст сообщения может быть одним из следующих:
   The message cannot be represented in 7-bit ASCII encoding and has been sent as a 
binary attachment Hey, try this file that i've found yesterday, it's very useful!..check link Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/Body,.Html.%65x%65 see the attached file or go to Http ://www.%66%72%65%65%77%65%62s.com/deliverysystem/TFAK.zip :D
Вложение может иметь следующее название:
   AvPc AntiAv.exe 
   Body,.Html.exe
   doc.exe 
       

Действия

Будучи активированным, червь создает в системе несколько файлов:

  • В директории Windows
       C:\Windows\Start Menu\Programs\Startup\F-PROT.exe 
       C:\Windows\security\Emzy.exe 
       C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup\CPF9X206.exe 
       C:\Windows\doc.exe 
       
  • В системной директории Windows
       notepad.exe 
       SB4CW.exe 
       
  • В корневой директории диска С:\
       AvPc AntiAv.exe
       Body,.Html.exe 
       ResHacker.exe 
       
  • В директории C:\Program Files
       WinRAR.exe 
       dmcpl.exe 
       
  • В директории С:\Documents and Settings\All Users\Start menu\Programs\Startup\
       VPFW30S.exe 
       
В случае отсутствия указанных директорий, копирование файлов не происходит.

Червь блокирует деятельность приложений и сервисов, в названиях окон которых есть строки:

   Command Prompt 
   LiveUpdate 
   Norton AntiVirus 
   Norton AntiVirus Quarantine 
   PC DOOR GUARD MANAGER 
   Quarantine 
   Registry Editor 
   RegRun II 
   System Restore 
   Windows Explorer 
   Windows Task Manager 
   
Червь предпринимает попытки организации DoS-атак против веб-сайтов www.norton.com и www.microsoft.com.