asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123
Распространение при помощи сменных носителей
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя: отключает следующие службы: wuauserv BITS блокирует доступ к адресам, содержащим следующие строки: indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus Также червь может скачивать файлы по ссылкам вида: http://<URL>/search?q=<%rnd2%> где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов: http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 либо выполните следующие действия: Удалить ключ системного реестра: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" Перезагрузить компьютер Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить копию червя: %System%\<rnd>.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>].dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>.tmp %Temp%\<rnd>.tmp где <rnd> - случайная последовательность символов. Удалить следующие файлы со всех съемных носителей: <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx, где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска. Скачать и установить обновление операционной системы по следующей ссылке: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
(обратно)
Деструктивная активность При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя: отключает следующие службы: wuauserv BITS блокирует доступ к адресам, содержащим следующие строки: indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus Также червь может скачивать файлы по ссылкам вида: http://<URL>/search?q=<%rnd2%> где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов: http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 либо выполните следующие действия: Удалить ключ системного реестра: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" Перезагрузить компьютер Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить копию червя: %System%\<rnd>.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>].dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>.tmp %Temp%\<rnd>.tmp где <rnd> - случайная последовательность символов. Удалить следующие файлы со всех съемных носителей: <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx, где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска. Скачать и установить обновление операционной системы по следующей ссылке: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
(обратно)