Добавлен в вирусную базу Dr.Web®: 2005-10-13 17:32:21
В распространяемых почтовых сообщениях адресатам предлагается посетить Интернет-ресурс gsm-card.iscool.net и загрузить универсальный генератор кодов для пополнения абонентских счетов мобильных операторов Украины. При запуске программы компьютер заражается троянцем, который выдает уведомление о необходимости перечисления 25 грн на определенный счет для восстановления работоспособности ПК. Имя программы CodGen7.9.exe. Размер 53964 байта.
Запуск вируса
С целью обеспечения автозапуска своей копии в системе троян вносит следующие значения в ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run: "winlogon.exe" = C:\WINDOWS\system32\services.db.exe "svchost" = C:\WINDOWS\inf\svchost.exeРаспространение
Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Для заражения системы необходимо загрузить программу с указанного выше ресурса и запустить ее.Действия
- Программа копирует себя в директорию C:\WINDOWS\system32 под именем services.db.exe и в директорию C:\WINDOWS\inf под именем svchost.exe.
- Создаёт следующие директории на диске С:
Типа Windows 062014622823780 302308736266644 447515826626665 824523728671442
- Меняет атрибуты директорий Windows и Program Files на Скрытый
- Блокируется запуск системных утилит для запуска редактора реестра Windows путём задания следующих значений в реестре:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- Блокирует запуск стандартных системных утилит Администрирования в Windows, в том числе Восстановление Системы;
- Удаляет все пункты системного меню Windows, кроме Программы, Настройка
- Удаляет все иконки с Рабочего стола;
- Подменяет стартовую страницу Internet Explorer путём внесения следующих изменений в реестре: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index19.html HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/uday/index19.html
- Блокирует выгрузку Internet Explorerа и изменение его свойств путём задания в реестре следующих значений:
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserClose=1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoNavButtons=1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoSelectDownloadDir=1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserContextMenu=1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions, NoBrowserOptions=1
- Блокируется запуск Диспетчера Задач Windows, а также команды Завершения/перезагрузки системы через стандартный графический интерфейс.
Рекомендации по восстановлению системы
В случае заражения системы рекомендуется произвести следующие действия:
- Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования диска С. Действие для файлов из п. 1) – удалить. Необходимо скачать утилиту для восстановления работоспособности системы. Подробнее
