Надежный хостинг

Надежный хостинг

среда, 11 июня 2008 г.

Вы искали информацию о Win32.Sector.5

Добавлен в вирусную базу Dr.Web®:2008-04-17 19:41:10
Тип вируса: Файловый вирус

Уязвимые ОС: Windows

Размер: 57 344 байт

Упакован: -

Техническая информация
  • При своём запуске переводит Internet Explorer в режим online:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
    GlobalUserOffline=0
  • Отключает User Access Control в Windows Vista:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
    EnableLUA=0
  • Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    "c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"
  • Для хранение своих настроек создаёт ключ в реестре:
    HKEY_CURRENT_USER\Software\<имя пользователя>914
  • Добавляет в system.ini случайное значение
    [MCIDRV_VER]
    DEVICEMB=116402342188
  • Внедряет свой код в память всех активных процессов.
  • Удаляет ветки реестра
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
    HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
    после этого загрузка в Безопасный режим невозможна.
  • Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.
  • Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".
  • В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
    Кроме того, удаляет файлы и процессы с именами содержащими:
    "_AVPM."
    "A2GUARD."
    "AAVSHIELD."
    "AVAST"
    "ADVCHK."
    "AHNSD."
    "AIRDEFENSE"
    "ALERTSVC"
    "ALMON."
    "ALOGSERV"
    "ALSVC."
    "AMON."
    "ANTI-TROJAN."
    "AVZ."
    "ANTIVIR"
    "ANTS."
    "APVXDWIN."
    "ARMOR2NET."
    "ASHAVAST."
    "ASHDISP."
    "ASHENHCD."
    "ASHMAISV."
    "ASHPOPWZ."
    "ASHSERV."
    "ASHSIMPL."
    "ASHSKPCK."
    "ASHWEBSV."
    "ASWUPDSV."
    "ATCON."
    "ATUPDATER."
    "ATWATCH."
    "AUPDATE."
    "AUTODOWN."
    "AUTOTRACE."
    "AUTOUPDATE."
    "AVCIMAN."
    "AVCONSOL."
    "AVENGINE."
    "AVGAMSVR."
    "AVGCC."
    "AVGCC32."
    "AVGCTRL."
    "AVGEMC."
    "AVGFWSRV."
    "AVGNT."
    "AVGNTDD"
    "AVGNTMGR"
    "AVGSERV."
    "AVGUARD."
    "AVGUPSVC."
    "AVINITNT."
    "AVKSERV."
    "AVKSERVICE."
    "AVKWCTL."
    "AVP."
    "AVP32."
    "AVPCC."
    "AVPM."
    "AVAST"
    "AVSCHED32."
    "AVSYNMGR."
    "AVWUPD32."
    "AVWUPSRV."
    "AVXMONITOR9X."
    "AVXMONITORNT."
    "AVXQUAR."
    "BACKWEB-4476822."
    "BDMCON."
    "BDNEWS."
    "BDOESRV."
    "BDSS."
    "BDSUBMIT."
    "BDSWITCH."
    "BLACKD."
    "BLACKICE."
    "CAFIX."
    "CCAPP."
    "CCEVTMGR."
    "CCPROXY."
    "CCSETMGR."
    "CFIAUDIT."
    "CLAMTRAY."
    "CLAMWIN."
    "CLAW95."
    "CLAW95CF."
    "CLEANER."
    "CLEANER3."
    "CLISVC."
    "CMGRDIAN."
    "CUREIT"
    "DEFWATCH."
    "DOORS."
    "DRVIRUS."
    "DRWADINS."
    "DRWEB32W."
    "DRWEBSCD."
    "DRWEBUPW."
    "ESCANH95."
    "ESCANHNT."
    "EWIDOCTRL."
    "EZANTIVIRUSREGISTRATIONCHECK."
    "F-AGNT95."
    "FAMEH32."
    "FAST."
    "FCH32."
    "FILEMON"
    "FIRESVC."
    "FIRETRAY."
    "FIREWALL."
    "FPAVUPDM."
    "F-PROT95."
    "FRESHCLAM."
    "FRW."
    "FSAV32."
    "FSAVGUI."
    "FSBWSYS."
    "F-SCHED."
    "FSDFWD."
    "FSGK32."
    "FSGK32ST."
    "FSGUIEXE."
    "FSM32."
    "FSMA32."
    "FSMB32."
    "FSPEX."
    "FSSM32."
    "F-STOPW."
    "GCASDTSERV."
    "GCASSERV."
    "GIANTANTISPYWAREMAIN."
    "GIANTANTISPYWAREUPDATER."
    "GUARDGUI."
    "GUARDNT."
    "HREGMON."
    "HRRES."
    "HSOCKPE."
    "HUPDATE."
    "IAMAPP."
    "IAMSERV."
    "ICLOAD95."
    "ICLOADNT."
    "ICMON."
    "ICSSUPPNT."
    "ICSUPP95."
    "ICSUPPNT."
    "IFACE."
    "INETUPD."
    "INOCIT."
    "INORPC."
    "INORT."
    "INOTASK."
    "INOUPTNG."
    "IOMON98."
    "ISAFE."
    "ISATRAY."
    "ISRV95."
    "ISSVC."
    "KAV."
    "KAVMM."
    "KAVPF."
    "KAVPFW."
    "KAVSTART."
    "KAVSVC."
    "KAVSVCUI."
    "KMAILMON."
    "KPFWSVC."
    "KWATCH."
    "LOCKDOWN2000."
    "LOGWATNT."
    "LUALL."
    "LUCOMSERVER."
    "LUUPDATE."
    "MCAGENT."
    "MCMNHDLR."
    "MCREGWIZ."
    "MCUPDATE."
    "MCVSSHLD."
    "MINILOG."
    "MYAGTSVC."
    "MYAGTTRY."
    "NAVAPSVC."
    "NAVAPW32."
    "NAVLU32."
    "NAVW32."
    "NOD32."
    "NEOWATCHLOG."
    "NEOWATCHTRAY."
    "NISSERV"
    "NISUM."
    "NMAIN."
    "NOD32"
    "NORMIST."
    "NOTSTART."
    "NPAVTRAY."
    "NPFMNTOR."
    "NPFMSG."
    "NPROTECT."
    "NSCHED32."
    "NSMDTR."
    "NSSSERV."
    "NSSTRAY."
    "NTRTSCAN."
    "NTXCONFIG."
    "NUPGRADE."
    "NVC95."
    "NVCOD."
    "NVCTE."
    "NVCUT."
    "NWSERVICE."
    "OFCPFWSVC."
    "OUTPOST."
    "PAV."
    "PAVFIRES."
    "PAVFNSVR."
    "PAVKRE."
    "PAVPROT."
    "PAVPROXY."
    "PAVPRSRV."
    "PAVSRV51."
    "PAVSS."
    "PCCGUIDE."
    "PCCIOMON."
    "PCCNTMON."
    "PCCPFW."
    "PCCTLCOM."
    "PCTAV."
    "PERSFW."
    "PERTSK."
    "PERVAC."
    "PNMSRV."
    "POP3TRAP."
    "POPROXY."
    "PREVSRV."
    "PSIMSVC."
    "QHM32."
    "QHONLINE."
    "QHONSVC."
    "QHPF."
    "QHWSCSVC."
    "RAVMON."
    "RAVTIMER."
    "REALMON."
    "REALMON95."
    "RFWMAIN."
    "RTVSCAN."
    "RTVSCN95."
    "RULAUNCH."
    "SAVADMINSERVICE."
    "SAVMAIN."
    "SAVPROGRESS."
    "SAVSCAN."
    "SCAN32."
    "SCANNINGPROCESS."
    "CUREIT."
    "SDHELP."
    "SHSTAT."
    "SITECLI."
    "SPBBCSVC."
    "SPHINX."
    "SPIDERML."
    "SPIDERNT."
    "SPIDERUI."
    "SPYBOTSD."
    "SPYXX."
    "SS3EDIT."
    "STOPSIGNAV."
    "SWAGENT."
    "SWDOCTOR."
    "SWNETSUP."
    "SYMLCSVC."
    "SYMPROXYSVC."
    "SYMSPORT."
    "SYMWSC."
    "SYNMGR."
    "TAUMON."
    "TBMON."
    "AVAST"
    "TCA."
    "TCM."
    "TDS-3."
    "TEATIMER."
    "TFAK."
    "THAV."
    "THSM."
    "TMAS."
    "TMLISTEN."
    "TMNTSRV."
    "TMPFW."
    "TMPROXY."
    "TNBUTIL."
    "TRJSCAN."
    "UP2DATE."
    "VBA32ECM."
    "VBA32IFS."
    "VBA32LDR."
    "VBA32PP3."
    "VBSNTW."
    "VCHK."
    "VCRMON."
    "VETTRAY."
    "VIRUSKEEPER."
    "VPTRAY."
    "VRFWSVC."
    "VRMONNT."
    "VRMONSVC."
    "VRRW32."
    "VSECOMR."
    "VSHWIN32."
    "VSMON."
    "VSSERV."
    "VSSTAT."
    "WATCHDOG."
    "WEBPROXY."
    "WEBSCANX."
    "WEBTRAP."
    "WGFE95."
    "WINAW32."
    "WINROUTE."
    "WINSS."
    "WINSSNOTIFY."
    "WRADMIN."
    "WRCTRL."
    "XCOMMSVR."
    "ZATUTOR."
    "ZAUINST."
    "ZLCLIENT."
    "ZONEALARM."
  • Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".
  • Cкачивает и запускает другие вредоносные программы из сети.
  • В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии: "kaspersky"
    "eset.com"
    "f-secure."
    "mcafee."
    "symantec."
    "etrust.com"
    "trendmicro."
    "sophos."
    "virustotal."
    "agnmitum."
    "pandasoftware."
    "bitdefender."
    "spywareguide."
    "windowsecurity."
    "virusscan."
    "ewido."
    "spywareinfo."
    "onlinescan."
    "drweb."
    "cureit."
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.
Автор: на

1 комментарий:

Admin комментирует...

Вот это зверь!
Снимаю шляпу перед авторами! Молодцы, старая школа.

16 декабря 2008 г. в 14:07

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)