ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLP.Zakk

(Win32/Delf.AM, Backdoor.Win32.Delf.qw, Backdoor.Delf.NL, BackDoor.Generic.SIF, W32/HLLP.Zakk.b, BDS/Delf.NL.2, Trojan:Win32/Sisron, W32.Zakk, BDS/Delf.HQ, Backdoor.Win32.Delf.hq, W32/Backdoor.EZT, Virus.Win32.Zakk.a, BKDR_DELF.NP, Parser error, Virus.Win32.HLLP.Zakk.a, PE_Generic, Backdoor.Generic.32723, BDS/Delf.anw.1, TR/Dldr.Delphi.Gen2, Backdoor:Win32/Delf, BehavesLike:Trojan.RegistryDisabler, Win32/MySoft.B, BackDoor.Delf.15.J, Win32/Delf.BL, Win32/Zakk.A)

Добавлен в вирусную базу Dr.Web: 2004-12-09

Описание добавлено:

Тип вируса: Вирус-паразит

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 758 784 байт

Упакован: Нет

Техническая информация

  • Вирус, паразитирующий на исполняемых файлах с расширением .exe.

  • В системной директории (C:\%WinDir%\SYSTEM32 для Windows NT/2000/XP, C:\%WinDir%\SYSTEM для Windows 9x/Me) создает свою копию с именем svshost.exe.

  • Для обеспечения своего запуска после перезагрузки Windows прописывается в следующие ветви реестра:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Microsoft = "C:\WINDOWS\System32\svshost.exe"

    • HKEY_CLASSES_ROOT\exefile\shell\open\command
    @= "C:\WINDOWS\System32\svshost.exe "%1" %*"

  • Удаляет из реестра ключи:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    SKYNET Personal FireWall iDuba Personal FireWall
    iamapp
    popproxy
    RavMon
    RavTimer
    KVFW

  • При старте создает скрытую вылеченную копию зараженного файла и запускает её. Чтобы скрыть полученную вылеченную копию зараженного файла в Проводнике, вирус модифицирует значения в ветках реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

  • Блокирует запуск следующих приложений:

    pfw.exe
    kvfw.exe
    KAVPFW.EXE
    iamapp.exe
    nmain.exe
    rfw.exe
    freepp.EXE
    freekav.EXE
    freesys.EXE
    Iparmor.exe
    trojan_hunter.exe

  • Если приложение уже запущено, то вирус завершает его и удаляет с диска - как само приложение, так и файлы, находящиеся в его папке.

  • Содержит бекдор и кейлоггер.

    • Рекомендации по восстановлению системы.

    а. В безопасном режиме просканировать систему антивирусной утилитой Dr.Web CureIt! с защищённого от записи диска. Для всех поражённых файлов применить действие "Лечить".

    б.
    1. Восстановить значение ключа HKEY_CLASSES_ROOT\exefile\shell\open\command на стандартное "%1" %*
    2. Экспортировать полученный файл реестра.
    3. Перезагрузить компьютер в нормальный режим.
    4. Импортировать файл реестра.
    5. Перезагрузить компьютер в нормальный режим.