Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Kati

(TROJ_DLOADER.RMD, Trojan-Downloader.Win32.VB.bnp, Worm/VB.CN.27, W32/Autorun.worm.g, WORM_VB.ELL, System error, TROJ_DLOADER.EVR, IM-Worm.Win32.VB.cn, TROJ_DLOADER.ZCD, Trojan.Downloader.VB.VKV, W32/YahLover.worm.gen, Parser error, TR/Dldr.VB.bnp, Generic.dx, Downloader.VB.AIM, TR/Dldr.VB.bnp.6, I-Worm/VB.TG, Generic Downloader.a, Mal_SHND-4, TR/Dldr.VB.bnp.5)

Добавлен в вирусную базу Dr.Web: 2007-09-17

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: WinNT-based

Размер: 117 248 байт

Упакован: UPX

Техническая информация

  • Написан на языке программирования Visual Basic.
  • При своём запуске создаёт несколько копий исходного файла:
    %Systemroot%\System32\ctfmon.exe
    %Systemroot%\System32\рsagоr18.sys
    %Systemroot%\System32\АHTОMSYS19.exe
    %Systemroot%\System32\DETER177\smss.exe
    %Systemroot%\System32\DETER177\svсhоst.exe
    %Systemroot%\System32\DETER177\lsass.exe

    Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.

  • Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    lsass = %Systemroot%\System32\DETER177\lsass.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    сtfmоn.exe = %Systemroot%\system32\сtfmon.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

    Shell = Explorer.exe %Systemroot%\system32\АHTОMSYS19.exe
  • Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло(((... вот, посмотри {ссылка на архив}".
  • Обладает функционалом работы с электронной почтой.
  • При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.
  • Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.
  • Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning.
  • Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%\NetHood.
  • Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также все доступные на момент сканирования flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить графические файлы *.bmp, *.jpg, а также документы *.doc, *.xls, *.rtf из резервных копий.