Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Graz.based

(W32/Feebs!rootkit, System error, TrojanDropper:Win32/Dunik!rts, TR/Crypt.XPACK.Gen, Worm.Win32.Feebs.lq, Worm:Win32/Feebs.gen!dll, Cryp_Upack, Trojan.Generic.74013, Worm/Feebs.IA, Worm/Feebs.GY, Worm.Win32.Feebs.a, Worm.Win32.Feebs.mi, Worm/Feebs.GA, TROJ_AGENT.OC, Worm/Feebs.BX.1, TROJ_HUPIGON.AVY, WORM_FEEBS.GE, JS/Kmax.1, Win32.Worm.Feebs.IC, Dropped:Trojan.Agent.Small.SVX, TrojanDownloader:Win32/Small.gen!M, WORM_FEEBS.IS, Backdoor.Bot.8886, TROJ_Generic.DIS, Worm.Win32.Feebs.V, Worm/Feebs.FE)

Описание добавлено:

Описание

Win32.HLLM.Graz - почтовый червь массовой рассылки.

Распространение

1. По почте как сообщение с приложенным zip-архивом.
Пример текста сообщения:

You have received Protected Mail from MSN.com user.
This message is addressed personally for you.
To decrypt your message use the following details:

ID: 25747
Password: qeopgelhk

Keep your password in a safe place and under no circumstances give it
to ANYONE.

Protected Mail and instruction is attached.

Best Regards,
Protected Mail System,
MSN.com

К сообщению прилагается zip-архив с одним из следующих имен:

msg.zip
message.zip
data.zip
mail.zip

В архиве - файл hta, содержащий зашифрованное тело вируса. Имя этого файла составляется из двух случайно выбранных строк. Первая строка может быть "Encrypted", "Protected", "Secure" или "Extended", а вторая - "Mail", "E_Mail", "Message" или "Html".
При открытии этого файла в корень диска C: сбрасывается файл с именем COMMAND.EXE и запускается. В это же время появляется окно, предлагающее ввести ID и Password.

2. По ICQ.
Следит за трафиком на зараженной машине и получает UIN и пароль.
Получает список контактов для данного UIN.
Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/. На данной странице пользователю предлагается скачать "универсальный генератор ключей для игр PopCap".
Возможный текст сообщения:

PopCap deluxe games absolutely free
you like PopCap deluxe games?Play them free and no limited
PopCap deluxe games without limit
I see your drive C:
you a hacked, look!
this is your local drives?not a joke:))

3. На зараженной машине создается http-сервер и при попытке скачать с него что-либо отдается тело вируса в формате hta. Может быть запаковано в zip - зависит от типа запрашиваемого файла.

Запуск вируса

При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms??.exe и сбрасывает в эту же папку файл ms??32.dll.
Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.

Действия

Отслеживает трафик на определенных портах и разбирает передаваемые данные в соответствии с протоколами для извлечения паролей (telnet,smtp,pop3,ftp,icq,irc, ...).
Далее эта информация использует для дальнейшего распространения вируса. Например, рассылка сообщений по ICQ от имени пользователя по всему контактному листу или заражение сайтов которые пользователь имел неосторожность обновить через FTP.

Содержит функцию управления программой WebMoney Keeper.

Блокирует доступ к сайтам, имена которых содержат следующие подстроки:

fsivcatchfestenorton
resplendencesoftwinfilseclabntivi
una panda free-av numentec
adware trojan freeav phx.corporate-ir
alwil agnitum frsirt secu
avg altn gdata.de sina
grisoft antiy grisoft skynet
bitdef anvir iavs softbase
clam asw iss sophos
hbedv atdmt kasper spam
esafe atwola lavasoft stocona
aladdin avast mcafee symantec
quickhea avp messagel trendmicro
avgate awaps microsoft update
tds3 bitdefender msn viru
onecare ca.com my-etrust webroot
ahnlab drweb nai.com haker
vnunet eset networkass spy
virdet vnunet nod32 itsafe
avinfo fbi norman

Этот же список использует для полного блокирования доступа к сети у приложений по их именам.

Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:

zonealarm dpf spfirewallsvc
zapro xfilter sppfw
ca leviathantrialkavpf
vsmon looknstop sspfwtry2
zlclient mpftray keypatrol
pavfnsvr netlimiter s-wall
avgcc npgui smc
fsdfwd npfsvice umxtray
dfw npfmsg persfw
fireballdta npfc pccpfw
fbtray ccapp tzpfw
goldtach ccsetmgr xeon
ipcserver ccevtmgr bullguard
aws ccproxy bgnewsui
jammer symlcsvc fw
armorwall sndsrvc fwsrv
armor2net opfsvc
iamapp opf
iamserv ipatrol
blackd spfw

Подобных списков в вирусе несколько, кроме межсетевых экранов в них входит ряд антивирусов, программ обеспечения безопасности (анти-кейлоггеры, анти-трояны и т.д.), мониторинга сетевых соединений и т.д.

Помещает свои копии в папки, в именах которых есть строки: "download", "upload", "incom", "share" заполняет .zip архивами с именами:

ICQ_2006
winamp_5.2
3dsmax_9_(3D_Studio_Max)
ACDSee_9
Adobe_Photoshop_10_(CS3)
Adobe_Premiere_9_(2.0_pro)
Ahead_Nero_8
DivX_7.0
Internet_Explorer_7
Kazaa_4
Microsoft_Office_2006
Longhorn

которые содержат копию вируса в файле websetup.exe

Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.

Рекомендации по восстановлению системы

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode) ;
2. Просканировать память и локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить .