Win32.HLLW.Gavir
(Parser error, Worm.Win32.Viking.i, Trojan.PWS.Lmir.VG, Generic.Viking.2FA673BF, Win32.Worm.Viking.R, Win32.Gavir.A, TR/Dldr.Li.ma.2.A.2, Win32.Worm.Viking.H, Worm/Delf.AVW, Worm.Win32.Viking.j, TR/ATRAPS.Gen, W32/HLLP.Philis.an, PE_LOOKED.V, PE_LOOKED.M, PE_LOOKED.J, Worm.Win32.Viking.l, Virus:Win32/Viking.dll.gen!A, Worm/Viking.P.6, W32/HLLP.Philis.dll, I-Worm/Generic.KR, Win32/Viking.IT, Win32.Trojan.Downloader (http://...))
Описание добавлено:
2006-02-01
Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe.
Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:
В Win9x:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load=rundl132.exe
В WinNT/2000/XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=rundl132.exe
Завершает процессы:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
Останавливает сервис "Kingsoft AntiVirus Service"
Не заражает файлы в папках:
"system"
"system32"
"windows"
"Documents and Settings"
"System Volume Information"
"Recycled"
"winnt"
Program Files/
"Windows NT"
"WindowsUpdate"
"Windows Media Player"
"Outlook Express"
"Internet Explorer"
"ComPlus Applications"
"NetMeeting"
"Common Files"
"Messenger"
"Microsoft Office"
"InstallShield Installation Information"
"MSN"
"Microsoft Frontpage"
"Movie Maker"
"MSN Gaming Zone"
Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их.
Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию
на целевой машине и удаленно запускает ее.
Создаёт viDll.dll и внедряет ее в просесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage, Trojan.PWS.Wow.
На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день.
При запуске инфицированных исполняемых файлов червь исцеляет их.
Информация по восстановлению системы
Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web - CureIt!.
