ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Autoruner.48547

(W32/YahLover.worm.gen,Worm:Win32/Sohanad.Y,Trojan.Win32.AutoIT.gen)

Добавлен в вирусную базу Dr.Web: 2011-04-29

Описание добавлено:

Virus Type: Worm

Affected OS: Windows

Size: 377344 bytes

Packed by: UPX

Technical Information

Для закрепления в системе:

Копирует себя по следующим путям (и устанавливает этим файлам атрибуты Скрытый и Системный):

%WinDir%\system32\IEXPLORERS.exe
%WinDir%\IEXPLORERS.exe
%WinDir%\system32\WORD.exe

Изменяет ключи реестра для автозапуска следующим образом:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="explorer.exe IEXPLORERS.exe"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messengger"="%WinDir%\system32\IEXPLORERS.exe"

Изменяет ключ реестра для удаления лимита на время выполнения задания:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
"AtTaskMaxHours" = 0

Создаёт задание системного планировщика для запуска себя ежедневно в 9.00:

"cmd.exe /c at 09:00 /interactive /every:m,t,w,th,f,s,su %WinDir%\system32\WORD.exe"

Устанавливает реестровые политики для текущего пользователя с целью усложнения изменения настроек отображения скрытых файлов, а также запрета использования regedit.exe и taskmgr.exe:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NofolderOptions"=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=1

В фоновом режиме ожидает появления окон с сообщениями о запрете использования указанных системных утилит. При появлении таких окон немедленно закрывает их.

Распространение происходит посредством копирования себя на доступные сетевые папки и сменные носители (обычно под именем "IEXPLORERS.exe" и "Bi mat.exe"). В корневую директорию сменных носителей и локальных дисков также копируется файл "autorun.inf" для обеспечения автозапуска.

В некоторых случаях червь может завершать процессы:

explorer.exe
cmd.exe

Основной целью существования программы является загрузка файлов и их запуск. Для получения ссылок на загрузку файлов червь обращается по следующим адресам:

http://set*****mb.com/setting.doc
http://hva*****m.googlepages.com/setting.doc
http://set*****5.com/setting.doc
Полученные настройки сохраняются как "%WinDir%\system32\settings.ini". На момент анализа ни один из сайтов уже не был доступен.