Уязвимые ОС: Win95/98/Me/NT/2000/XP/2003
Размер: 18 - 48 Кбайт
Упакован: UPX
- При запуске выводит на экран окно "Win32.HLLP.Kuku v3.02 <<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>> Copyright (c) by Sector", создаёт в системном каталоге Windows файл динамической библиотеки, которую внедряет во все запущенные процессы. Имя файла динамической библиотеки может быть olemdb32.dll, winresd32.dll, wmimgr32.dll.
- Заражает все файлы с расширениями EXE и SCR на всех логических дисках, дописываясь при этом в конец последней секции PE-файла.
- Отслеживает заголовки активных окон программ.
- Регистрирует все нажимаемые клавиши при работе пользователя с активными окнами программ. Отслеживает окна, содержащие следующие подстроки:
DRWEB
OUTPOST
ZONEALARM
NOD32
NMAIN
MCUPDATE
DOMAIN
DEVICE
PHONE
T EXCEL
T WORD
SYSTEM
REGIST
MONEY
OUTLOOK
MOZIL
LOGIN
REMOTE
ONNECT
Собранная информация сохраняется в файле %System%\TFTempCache.
- Получает список и параметры модемных соединений, похищает содержимое системного парольного кэша, а также сведения о последних открытых в Internet Explorer ссылках. Кроме того, похищает информацию, содержащуюся в файле %WINDIR%\edialer.ini.
- Похищенную информацию передаёт злоумышленнику по электронной почте.
- Осуществляет поиск и удаляет, в случае нахождения, файлы, содержащие в своем имени строку drw, а также файлы с расширениями:
.vdb
.key
.avc
.tjc
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
