Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Gavir

(Parser error, Worm.Win32.Viking.i, Trojan.PWS.Lmir.VG, Generic.Viking.2FA673BF, Win32.Worm.Viking.R, Win32.Gavir.A, TR/Dldr.Li.ma.2.A.2, Win32.Worm.Viking.H, Worm/Delf.AVW, Worm.Win32.Viking.j, TR/ATRAPS.Gen, W32/HLLP.Philis.an, PE_LOOKED.V, PE_LOOKED.M, PE_LOOKED.J, Worm.Win32.Viking.l, Virus:Win32/Viking.dll.gen!A, Worm/Viking.P.6, W32/HLLP.Philis.dll, I-Worm/Generic.KR, Win32/Viking.IT, Win32.Trojan.Downloader (http://...))

Описание добавлено:

  • Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:
  • В Win9x:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    load=rundl132.exe

  • В WinNT/2000/XP:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    load=rundl132.exe

  • Завершает процессы:

    EGHOST.EXE
    MAILMON.EXE
    KAVPFW.EXE
    IPARMOR.EXE
    Ravmond.EXE
    RavMon.exe

  • Останавливает сервис "Kingsoft AntiVirus Service"
  • Не заражает файлы в папках:

    "system"
    "system32"
    "windows"
    "Documents and Settings"
    "System Volume Information"
    "Recycled"
    "winnt"

    Program Files/

    "Windows NT"
    "WindowsUpdate"
    "Windows Media Player"
    "Outlook Express"
    "Internet Explorer"
    "ComPlus Applications"
    "NetMeeting"
    "Common Files"
    "Messenger"
    "Microsoft Office"
    "InstallShield Installation Information"
    "MSN"
    "Microsoft Frontpage"
    "Movie Maker"
    "MSN Gaming Zone"

  • Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.
  • Создаёт viDll.dll и внедряет ее в просесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage, Trojan.PWS.Wow.
  • На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.
  • Информация по восстановлению системы

    Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web - CureIt!.