Win32.HLLM.Generic.285

Добавлен в вирусную базу Dr.Web: 2004-04-04

Описание добавлено: 2004-04-04

Описание

Win32.HLLM.Generic.285 (известный также как Sober.F) - почтовый червь массовой рассылки, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя 42 496 байт.

Действия

В системную директорию (в Windows 9x и Windows ME это C:\Windows\System, в Windows NT/2000 это C:\WINNT\System32, в Windows XP это C:\Windows\System32) червь помещает свою копию, название которой компонуется червем из следующих строк

  sys, host, dir, expolrer, win, run, log, 32,  disc, crypt, data, diag, spool, service, sms, 
  s32

и расширения .exe.

Путь к своей копии червь прописывает в ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\
Название присваиваемого червем значения ключа также выбирается из вышеприведенного списка.

Также в директорию Windows червь помещает еще несколько файлов:

z m n d p g w f . k x x

b c e g f d s . l l l

z h c a r x x i . v v x

s y s t 3 2 w i n . d l l и spoofed_recips.ocx - используются червем для хранения собранных в системе почтовых адресов

w i n s y s 3 2 x x . z z p и w i n h e x 3 2 x x . w r m - копии червя в кодировке base64

Технологии

Термины

Обучение и просвещение

Мифы