• Главная
  • ЛЕНТА НОВОСТЕЙ
  • АРХИВ НОВОСТЕЙ
  • Политическая жизнь Армении
  • Украинско-армянские отношения
  • Культура и искусство Армении
  • RSS feed
  • "Доктор Веб" сообщает об опасном вирусе
    Опубликовано: 2006-08-15 15:07:00

    Служба вирусного мониторинга компании «Доктор Веб» сообщила о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

    Техническая информация:

    Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку,

    модифицируя системный реестр:

    В Win9x:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    load=rundl132.exe

    В WinNT/2000/XP:

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

    load=rundl132.exe

    Завершает процессы:

    EGHOST.EXE

    MAILMON.EXE

    KAVPFW.EXE

    IPARMOR.EXE

    Ravmond.EXE

    RavMon.exe

    Вирус Ссканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

    Создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом

    Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.

    На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.

    Инф. СyberSecurity

    Внимание!!! При перепечатке авторских материалов с ArmEmbassy.com.ua активная ссылка (не закрытая в теги noindex или nofollow, а именно открытая!!!) на портал "Армянские новости в Украине ArmEmbassy.com.ua" обязательна.

    САМОЕ ЧИТАЕМОЕ

    22 июл, 23:27

    30 окт, 22:04

    25 сен, 21:14

    04 сен, 18:29

    01 сен, 18:33

    24 авг, 10:35

    Армянские новости в Украине
    Электронная почта проекта: info@armembassy.com.ua

    Официальный сайт Посольства Армении в Украине находится по другому адресу
    bigmir)net TOP 100

    Яндекс цитирования
    Яндекс.Метрика
    © Армянские новости в Украине. Все права защищены.
    При использовании материалов сайта в печатном или электронном виде активная ссылка на ArmEmbassy.com.ua обязательна. Мнение редакции может не совпадать с мнением автора.