Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Win32.HLLW.Facebook.133

(WORM_KOOBFACE.X, TR/Agent.covi, Worm:Win32/Koobface.gen!D , W32/Koobface.worm.gen.f, W32/Koobface.worm.gen.g, Trojan.Win32.Agent.covi, DR/Koobface.AEJ, Downloader-EV, Parser error, TROJ_AGENT.AWOR, Win32.Worm.Koobface.ADX, Packed.Win32.Krap.r, Win32.Worm.Koobface.ADQ, W32/Koobface.worm.gen.e, Trojan-Downloader.Win32.Injecter.ddo, Net-Worm.Win32.Koobface.anq, W32.Koobface.A, Worm/Koobface.ADX, Generic Dropper.ho, WORM_KOOBFACE.DF)
Добавлен в вирусную базу Dr.Web:2009-07-06
Описание добавлено:2009-07-06

Способ распространения

Сетевой червь Win32.HLLW.Facebook.133, распространяется в популярных соц. сетях в виде ссылки, при активации которой происходит переход на веб-страницу, содержащую вредоносный видео-ролик. При попытке просмотра которого пользователю предлагается установить дополнительное ПО.

Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Facebook.133 система проверяется на заражение, путем проверки наличия вируса в системном каталоге %WINDIR% и если система уже заражена процесс завершается. Если же система не заражена червь создает копию самого себя в %WINDIR%\ld12.exe, после этого создает bat-файл в %WINDIR%\567788.bat, который производит удаление исполняемого файла установщика.

Далее запускается на выполнение исполняемый файл из %WINDIR%\ld12.exe, который создает ключ системного реестра HKCU\\Software\Microsoft\Windows\CurrentVersion\Run\sysldtray, для автозагрузки вируса при старте системы. После этого удаляется ключ реестра HKCU\AppEvents\Schemes\Apps\Explorer\Navigating. После этого осуществляется поиск в папке по умолчанию для хранения cookies от браузера Internet Explorer, файлов с сookies для следующих соц. сетей:

  • facebook.com
  • myspace.com
  • twitter.com
  • hi5.com
  • netlog.com
  • tagged.com
  • bebo.com

Проверяется наличие соединения с интернетом методом обращения к странице google.com, если приходит ответ значит соединение с интернетом есть. Далее происходит обращение "POST [имя сайта]/achcheck.php" по следующем адресам:

  • uprtrishest.com
  • rd040609-cgpay.net
  • trisem.com
  • upr0306.com

После того, как будет получен ответ ACH_OK, на сервер с которого он был получен передаются информация о найденных файлах с сookies. Передача осуществляется при помощи POST-запроса на адрес [имя сайта]/ld/gen.php. Выглядит это так:

  • ck= [facebook cookie]
  • c_fb= [facebook cookie]
  • c_ms= [myspace cookie]
  • c_hi= [hi5 coockie]
  • c_tw= [twitter cookie]
  • c_be= [bebo cookie]
  • c_tg= [tagged cookie]
  • c_nl= [netlog cookie]

Червь Win32.HLLW.Facebook.133 скачивает из интернет и устанавливает на зараженную систему следующие вирусы:

  • Trojan.DownLoad.36180
  • Trojan.MulDrop.32092
  • Trojan.Siggen.2397
  • Российский разработчик антивирусов Dr.Web

    Опыт разработки с 1992 года

    Dr.Web пользуются в 200+ странах мира

    Dr.Web в Реестре Отечественного ПО

    Поставка антивируса как услуги с 2007 года

    Круглосуточная поддержка на русском языке

    © «Доктор Веб»
    2003 — 2018

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А