Вирусы, мать их...
- Автор теми drzewko
- Дата створення
Lion3D.cg
В поиске абсолютной истины
Re: Помогите ! Троянкий конь нападает !!!
Email-Worm.Win32.Scano.ay
Программа-червь, которая распространяет себя по электронной почте. Программа
является приложением Windows (PE EXE-файл). Имеет размер 21 570 байт.
Упакована WinUpack. Распакованный размер около 83 килобайт. Написана на C++.
Инсталляция
Заражение происходит при открытии и запуске зараженного файла вложения из
письма электронной почты.
Червь не работает под ОС Win9x.
При запуске копирует свой исполняемый файл в папку Windows с именем:
%WinDir%\csrss.exe
Создает ключ реестра :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
или, в случае неудачи создания такого ключа, добавляет ссылку на свой
исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run]
"Application" = "%WinDir%\csrss.exe"
После этого исполняемый файл червя будет автоматически запускаться при
каждом следующем старте Windows
Деструктивная активность
Червь запускает процесс services.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Проверяет значение указанного ниже ключа реестра и восстанавливает его
значение в случае его отсутствия :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
2. Восстанавливает свой исполняемый файл из копии в оперативной памяти в
случае его удаления с жесткого диска.
Червь запускает процесс svchost.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Пытается установить соединение с Интернет
2. Запускает поток, который ищет в системе окна класса "AVP.AlertDialog" и
имитирует в них нажатия на кнопку <Разрешить> или "Allow"
3. Создает файл во временной папке Windows:
%Temp%\Message.hta
Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который
производит расшифровку тела вируса, сохраняет его в корневой каталог диска
C: под произвольно сгенерированным именем и его последующий запуск.
4. Запускает поток, который производит рассылку зараженных писем с
вложенными файлами, которые содержат тело червя. Рассылка производится
используя встроенный в червя почтовый клиент.
Заголовок письма выбирается случайным образом из списка:
Hi, what's up?
He, where are you?
Hi, drop me a line!!!
Hi! Please write to me urgently!
Hi! I'm waiting you online today!
Will you be online today?
When you're gonna answer me?
Re: write to me!
Re: Call me!
Re: Where are you?
Re: When you're gonna answer me?
Hi!!! How's the mood?
Re: How's the mood?
Re: Where have you been?
Текст письма выбирается случайным образом из списка :
Hi!!!!! You haven't been writing for a long time. I began to worry) Where
have you been? You remember, you've asked a progy from me? I've finally
found it, so here it is. Check it out if this is what you've been looking
for... bye
Hi, what's up? Will you show up online today?
Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking
for, find them attached. Check them out, ok?
Hi! I'm coming to you tomorrow, ok? When you are going to be home?
You remember, you've asked some docs. Please find them attached. Check and
see what's inside. That's it. Bye, till tomorrow...
Hi! You disappeared again. If you come online, drop me a line, ok?
Btw, I sent you those docs that you've been looking for. Check them out.
Bye!
Hi, give me a call just when you got the message! I'm tired of waiting. Btw,
I'm sending that program that you've been looking for. Check it out. Appears
to be that one. Bye!
Hi, what's up? If you have time tomorrow, please come over. After midday. By
the way, don't forget to check the enclosed documents. Bye. See you
tomorrow.
Hi, I got a free day tomorrow, and I'm waiting for you. Please come after
midday. By the way, I'm sending you the documents that you've been asking
for. Read them out... Bye!
Hi, how are you? What are your plans today? If you have time, please come
over, and don't forget to check the program attached. Bye!
Hi, what's you gonna do today? I'll come over tonight! By the way, don't
give anyone this funny program I'm sending. Check it out. Bye!
Hi, I found that program you asked for. Find it attached. Bye.
Hi, I saw you around today, but you didn't noticed me ( If you're gonna be
at home, give a call, ok? By the way, check this file I'm sending. A very
interesting program...
What's up! You haven't been writing for a long time: I got news. I've
finally that program you needed: I'm sending it out. Use it. Bye!
Hi, drop me a line today, ok? And see the program I'm sending. Bye!
Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to
check the attached documents. Bye.
Hi! How are you? Drop me a line if you can. I found your documents and I'm
emailing them to you. Bye.
Файл-вложение назван одним из следующих имен:
Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup
5. Червь получает зашифрованный URL для загрузки файла из Интернет по
следующей ссылке:
Файл скачивается в рабочую папку с исполняемым файлом червя и сохраняется с
именем 1.exe после чего запускается.
6. Червь копирует свой исполняемый файл на все разделы жесткого диска в
папки, имена которых содержат в себе следующие строки.
bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
shar
source
upload
pub
log
Имя файла червя выбирается произвольно из следующего списка:
1001 Sex and more.rtf
3D Studio Max 6 3dsmax
ACDSee 10 full
Adobe Photoshop 10 full
Adobe Premiere 10
Ahead Nero 8
Altkins Diet.doc
American Idol.doc
Arnold Schwarzenegger.jpg
Best Matrix Screensaver new
Britney sex xxx.jpg
Britney Spears and Eminem porn.jpg
Britney Spears blowjob.jpg
Britney Spears cumshot.jpg
Britney Spears fuck.jpg
Britney Spears full album.mp3
Britney Spears porn.jpg
Britney Spears Sexy archive.doc
Britney Spears Song text archive.doc
Britney Spears.jpg
Britney Spears.mp3
Clone DVD 6
Cloning.doc
Cracks & Warez Archiv
Dark Angels new
Dictionary English 2004 - France.doc
DivX 8.0 final
Doom 3 release 2
E-Book Archive2.rtf
Eminem blowjob.jpg
Eminem full album.mp3
Eminem Poster.jpg
Eminem sex xxx.jpg
Eminem Sexy archive.doc
Eminem Spears porn.jpg
Eminem.mp3
Full album all.mp3
Gimp 1.8 Full with Key
Harry Potter 1-6 book.txt
Harry Potter 5.mpg
Harry Potter all e.book.doc
Harry Potter e book.doc
Harry Potter game
Harry Potter.doc
Harry Potter and the Sorcerer's Stone game
How to hack new.doc
Internet Explorer 9 setup
Kaspersky Internet Security 6.1 KeyALL
Kaspersky`s Pub 6.0 Ultimate
Kazaa Lite 4.0 new
Kazaa new
Keygen 4 all new
Learn Programming 2004.doc
Lightwave 9 Update
Magix Video Deluxe 5 beta
Matrix 3 .mpg
Microsoft Office 2003 Crack best
Microsoft WinXP Crack full
MS Service Pack 6
source code
Norton Antivirus 2005 beta
Opera 11 free
Partitionsmagic 10 beta
Porno Screensaver britney
RFC compilation.doc
Ringtones.doc
Nostradamus.doc
From me with love
World Trade Center last video.mpeg
anthrax.doc
Osama Bin Laden.jpg
Taliban
Osama bin Laden.mpg
Yellow Pages
Ringtones.mp3
Saddam Hussein.jpg
Screensaver2
Serials edition.txt
Smashing the stack full.rtf
Star Office 9
Teen Porn 15.jpg
The Sims 4 beta
Ulead Keygen 2004
Visual Studio Net Crack all
Vista review.doc
WinAmp 13 full with sources
Windows Vista Sourcecode.doc
Windows 2003 crack
Windows XP crack
WinXP eBook newest.doc
XXX hardcore pics.jpg
и одного из расширений:
.exe
.pif
.scr
7. Червь производит поиск на всех жестких дисках файлов имеющих следующие
расширения :
.adb
.asp
.cfg
.cgi
.mra
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
.dhtml
При нахождении таких файлов червь производит поиск в этих файлах адресов
электронной почты и рассылает по этим адресам зараженные письма. Письма не
рассылаются по адресам содержащим ниже перечисленные строки :
@example.
2003
2004
2005
2006
@microsoft
rating@
f-secur
news
update
.qmail
.gif
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
0000
Mailer-Daemon@
@subscribe
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
torvalds@
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
spm111@
.00
---
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@0
.1
.2
.3
.4
.5
.6
.7
.8
.9
Рекомендации по удалению
1. При помощи <Диспетчера задач> завершить зараженные процессы services.exe
и svchost.exe.
2. Удалить все копии червя на жестком диске
3. В редакторе реестра удалить ключи реестра:
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe]
[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application]
4. Произвести полную проверку компьютера Антивирусом Касперского с
обновленными антивирусными базами (<a
href="http://www.kaspersky.ru/trials">скачать пробную версию</a>).
Email-Worm.Win32.Scano.ay
Программа-червь, которая распространяет себя по электронной почте. Программа
является приложением Windows (PE EXE-файл). Имеет размер 21 570 байт.
Упакована WinUpack. Распакованный размер около 83 килобайт. Написана на C++.
Инсталляция
Заражение происходит при открытии и запуске зараженного файла вложения из
письма электронной почты.
Червь не работает под ОС Win9x.
При запуске копирует свой исполняемый файл в папку Windows с именем:
%WinDir%\csrss.exe
Создает ключ реестра :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
или, в случае неудачи создания такого ключа, добавляет ссылку на свой
исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run]
"Application" = "%WinDir%\csrss.exe"
После этого исполняемый файл червя будет автоматически запускаться при
каждом следующем старте Windows
Деструктивная активность
Червь запускает процесс services.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Проверяет значение указанного ниже ключа реестра и восстанавливает его
значение в случае его отсутствия :
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe] "Debugger"="%WinDir%\csrss.exe"
2. Восстанавливает свой исполняемый файл из копии в оперативной памяти в
случае его удаления с жесткого диска.
Червь запускает процесс svchost.exe и внедряет в его адресное пространство
свой код, который выполняет следующие действия:
1. Пытается установить соединение с Интернет
2. Запускает поток, который ищет в системе окна класса "AVP.AlertDialog" и
имитирует в них нажатия на кнопку <Разрешить> или "Allow"
3. Создает файл во временной папке Windows:
%Temp%\Message.hta
Этот файл содержит тело вируса в зашифрованном виде и VBS скрипт, который
производит расшифровку тела вируса, сохраняет его в корневой каталог диска
C: под произвольно сгенерированным именем и его последующий запуск.
4. Запускает поток, который производит рассылку зараженных писем с
вложенными файлами, которые содержат тело червя. Рассылка производится
используя встроенный в червя почтовый клиент.
Заголовок письма выбирается случайным образом из списка:
Hi, what's up?
He, where are you?
Hi, drop me a line!!!
Hi! Please write to me urgently!
Hi! I'm waiting you online today!
Will you be online today?
When you're gonna answer me?
Re: write to me!
Re: Call me!
Re: Where are you?
Re: When you're gonna answer me?
Hi!!! How's the mood?
Re: How's the mood?
Re: Where have you been?
Текст письма выбирается случайным образом из списка :
Hi!!!!! You haven't been writing for a long time. I began to worry) Where
have you been? You remember, you've asked a progy from me? I've finally
found it, so here it is. Check it out if this is what you've been looking
for... bye
Hi, what's up? Will you show up online today?
Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking
for, find them attached. Check them out, ok?
Hi! I'm coming to you tomorrow, ok? When you are going to be home?
You remember, you've asked some docs. Please find them attached. Check and
see what's inside. That's it. Bye, till tomorrow...
Hi! You disappeared again. If you come online, drop me a line, ok?
Btw, I sent you those docs that you've been looking for. Check them out.
Bye!
Hi, give me a call just when you got the message! I'm tired of waiting. Btw,
I'm sending that program that you've been looking for. Check it out. Appears
to be that one. Bye!
Hi, what's up? If you have time tomorrow, please come over. After midday. By
the way, don't forget to check the enclosed documents. Bye. See you
tomorrow.
Hi, I got a free day tomorrow, and I'm waiting for you. Please come after
midday. By the way, I'm sending you the documents that you've been asking
for. Read them out... Bye!
Hi, how are you? What are your plans today? If you have time, please come
over, and don't forget to check the program attached. Bye!
Hi, what's you gonna do today? I'll come over tonight! By the way, don't
give anyone this funny program I'm sending. Check it out. Bye!
Hi, I found that program you asked for. Find it attached. Bye.
Hi, I saw you around today, but you didn't noticed me ( If you're gonna be
at home, give a call, ok? By the way, check this file I'm sending. A very
interesting program...
What's up! You haven't been writing for a long time: I got news. I've
finally that program you needed: I'm sending it out. Use it. Bye!
Hi, drop me a line today, ok? And see the program I'm sending. Bye!
Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to
check the attached documents. Bye.
Hi! How are you? Drop me a line if you can. I found your documents and I'm
emailing them to you. Bye.
Файл-вложение назван одним из следующих имен:
Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup
5. Червь получает зашифрованный URL для загрузки файла из Интернет по
следующей ссылке:
Файл скачивается в рабочую папку с исполняемым файлом червя и сохраняется с
именем 1.exe после чего запускается.
6. Червь копирует свой исполняемый файл на все разделы жесткого диска в
папки, имена которых содержат в себе следующие строки.
bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
shar
source
upload
pub
log
Имя файла червя выбирается произвольно из следующего списка:
1001 Sex and more.rtf
3D Studio Max 6 3dsmax
ACDSee 10 full
Adobe Photoshop 10 full
Adobe Premiere 10
Ahead Nero 8
Altkins Diet.doc
American Idol.doc
Arnold Schwarzenegger.jpg
Best Matrix Screensaver new
Britney sex xxx.jpg
Britney Spears and Eminem porn.jpg
Britney Spears blowjob.jpg
Britney Spears cumshot.jpg
Britney Spears fuck.jpg
Britney Spears full album.mp3
Britney Spears porn.jpg
Britney Spears Sexy archive.doc
Britney Spears Song text archive.doc
Britney Spears.jpg
Britney Spears.mp3
Clone DVD 6
Cloning.doc
Cracks & Warez Archiv
Dark Angels new
Dictionary English 2004 - France.doc
DivX 8.0 final
Doom 3 release 2
E-Book Archive2.rtf
Eminem blowjob.jpg
Eminem full album.mp3
Eminem Poster.jpg
Eminem sex xxx.jpg
Eminem Sexy archive.doc
Eminem Spears porn.jpg
Eminem.mp3
Full album all.mp3
Gimp 1.8 Full with Key
Harry Potter 1-6 book.txt
Harry Potter 5.mpg
Harry Potter all e.book.doc
Harry Potter e book.doc
Harry Potter game
Harry Potter.doc
Harry Potter and the Sorcerer's Stone game
How to hack new.doc
Internet Explorer 9 setup
Kaspersky Internet Security 6.1 KeyALL
Kaspersky`s Pub 6.0 Ultimate
Kazaa Lite 4.0 new
Kazaa new
Keygen 4 all new
Learn Programming 2004.doc
Lightwave 9 Update
Magix Video Deluxe 5 beta
Matrix 3 .mpg
Microsoft Office 2003 Crack best
Microsoft WinXP Crack full
MS Service Pack 6
source code
Norton Antivirus 2005 beta
Opera 11 free
Partitionsmagic 10 beta
Porno Screensaver britney
RFC compilation.doc
Ringtones.doc
Nostradamus.doc
From me with love
World Trade Center last video.mpeg
anthrax.doc
Osama Bin Laden.jpg
Taliban
Osama bin Laden.mpg
Yellow Pages
Ringtones.mp3
Saddam Hussein.jpg
Screensaver2
Serials edition.txt
Smashing the stack full.rtf
Star Office 9
Teen Porn 15.jpg
The Sims 4 beta
Ulead Keygen 2004
Visual Studio Net Crack all
Vista review.doc
WinAmp 13 full with sources
Windows Vista Sourcecode.doc
Windows 2003 crack
Windows XP crack
WinXP eBook newest.doc
XXX hardcore pics.jpg
и одного из расширений:
.exe
.pif
.scr
7. Червь производит поиск на всех жестких дисках файлов имеющих следующие
расширения :
.adb
.asp
.cfg
.cgi
.mra
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
.dhtml
При нахождении таких файлов червь производит поиск в этих файлах адресов
электронной почты и рассылает по этим адресам зараженные письма. Письма не
рассылаются по адресам содержащим ниже перечисленные строки :
@example.
2003
2004
2005
2006
@microsoft
rating@
f-secur
news
update
.qmail
.gif
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
0000
Mailer-Daemon@
@subscribe
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
torvalds@
sopho
@foo
@iana
free-av
@messagelab
winzip
winrar
samples
spm111@
.00
---
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@0
.1
.2
.3
.4
.5
.6
.7
.8
.9
Рекомендации по удалению
1. При помощи <Диспетчера задач> завершить зараженные процессы services.exe
и svchost.exe.
2. Удалить все копии червя на жестком диске
3. В редакторе реестра удалить ключи реестра:
[HKLM\Sоftware\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\explorer.exe]
[HKCU\Sоftware\Microsoft\Windows\CurrentVersion\Run\Application]
4. Произвести полную проверку компьютера Антивирусом Касперского с
обновленными антивирусными базами (<a
href="http://www.kaspersky.ru/trials">скачать пробную версию</a>).
Останнє редагування:
lioness
New Member
Re: Вирусы и борьба с ними.
Спасбочки, это все я читала, да у меня все такое. Проблема в том, что он появляется через некоторое время. Я с ним неделю воюю.Вроде бы все обьекты обезврежены, а на следующий день появляются снова. Касперский обновленный. Пробывала Web, он их только показывал, а не удалял.
Спасбочки, это все я читала, да у меня все такое. Проблема в том, что он появляется через некоторое время. Я с ним неделю воюю.Вроде бы все обьекты обезврежены, а на следующий день появляются снова. Касперский обновленный. Пробывала Web, он их только показывал, а не удалял.
Lion3D.cg
В поиске абсолютной истины
Re: Вирусы и борьба с ними.
Ты точно следовала указаниям? включая чистку рееестра и автозапуска? Поудаляй все временные файлы в системе, кэш браузеров, проверь антивирусом базы писем почтовых клиентов если есть. Брандмауэр виндовс или сторонний фаейрвол включен? Открыт ли общий доступ в сеть на запись к каким либо твоим директориям?
Ты точно следовала указаниям? включая чистку рееестра и автозапуска? Поудаляй все временные файлы в системе, кэш браузеров, проверь антивирусом базы писем почтовых клиентов если есть. Брандмауэр виндовс или сторонний фаейрвол включен? Открыт ли общий доступ в сеть на запись к каким либо твоим директориям?
Lion3D.cg
В поиске абсолютной истины
Re: Вирусы и борьба с ними.
Virus.Win32.Sality" - семейство классических файловых вирусов
Found: 20
1. Virus.Win32.Sality.s
[ Virus Encyclopedia ]
2. Virus.Win32.Sality.r
[ Virus Encyclopedia ]
3. Virus.Win32.Sality.q
[ Virus Encyclopedia ]
4. Virus.Win32.Sality.p
[ Virus Encyclopedia ]
5. Virus.Win32.Sality.o
[ Virus Encyclopedia ]
6. Virus.Win32.Sality.n
[ Virus Encyclopedia ]
7. Virus.Win32.Sality.m
[ Virus Encyclopedia ]
8. Virus.Win32.Sality.l
[ Virus Encyclopedia ]
9. Virus.Win32.Sality.k
[ Virus Encyclopedia ]
10. Virus.Win32.Sality.g
[ Virus Encyclopedia ]
11 Virus.Win32.Sality.i
[ Virus Encyclopedia ]
12 Virus.Win32.Sality.d
[ Virus Encyclopedia ]
13 Virus.Win32.Sality.c
[ Virus Encyclopedia ]
14 Virus.Win32.Sality.a
[ Virus Encyclopedia ]
15 Virus.Win32.Sality.f
[ Virus Encyclopedia ]
16 Virus.Win32.Sality.e
[ Virus Encyclopedia ]
17 Virus.Win32.Sality.b
[ Virus Encyclopedia ]
18 Virus.Win32.Sality.j
[ Virus Encyclopedia ]
19 Virus.Win32.Sality.h
[ Virus Encyclopedia ]
20 Virus.Win32.Krepper.30760
[ Virus Encyclopedia ]
Технические детали
Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR. Упакован UPX.
Проявление в системе
* Появление сообщений с текстом «<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>»
* Если тип операционной системы — Windows 2000/XP , то частые появления сообщений системы защиты файлов Windows о нераспознанных версиях системных файлов Windows.
* Увеличение размеров EXE и SCR файлов.
* Возможно пропадание закладки «Версия» в окне со свойством файла (появляется при выборе соответствующего пункта в контекстном меню), в случае, если до этого эта закладка существовала.
* Изменение расширений у файлов с расширениями EXE и SCR на случайное расширение.
* Появление скрытых файлов с расширениями вида ~01 (если они не созданы пользователем) в каталоге, в котором присутствует файл с тем же именем и расширением EXE.
* При запуске файла, поражённого вирусом, при отсутствии выполняющейся другой копии вируса, в списке процессов появляется два процесса: имя_файла.EXE и имя_файла.~01.
Деструктивная активность
При запуске инфицированного файла вирус копирует запущенный файл в скрытый файл с идентичным именем, в котором последние 3 символа расширения заменены на строку вида «~01» (последние 2 символа — счётчик; если файл с таким именем существует, и попытка удалить его не удалась, счётчик увеличивается и попытка повторяется).
Если не получилось скопировать файл в текущий каталог (например, если файл находится на CDROM), вирус пытается скопировать файл во временный каталог, определяемый настройками системы (%TEMP%); в случае неудачи и этой попытки выводится сообщение «Fatal Error. Disk is write-protected.».
В случае удачного копирования, созданный файл лечится и запускается на выполнение с теми же параметрами командной строки, что и оригинальный файл.
После этого проверяется, существует ли в системе окно с заголовком «DEAD». Если такое окно существует, то ему передаётся строка с именем временного уже вылеченного файла. Имя файла передаётся с целью его последующего удаления. Если такого окна не существует, то оно создаётся, и запускается поток, инфицирующий файлы. Через каждые 5 секунд вирус пытается удалить созданный им во время лечения временный файл и файлы, созданные другими копиями вируса. Таким образом, в системе присутствует не более одного процесса, инфицирующего файлы данным вирусом. Этот процесс также удаляет временные файлы, созданные другими копиями вируса во время лечения.
Перед завершением работы вируса, если текущее число месяца — 10, 11, или 12-е, то выводится сообщение с заголовком:
Win32.HLLP.Kuku v1.09
И текстом:
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector
В ходе выполнения потока, инфицирующего файлы, производится поиск доступных для записи дисков с именами: C:, D:, ..., X:. Для всех найденных дисков запускается процедура инфицирования файлов. Данная процедура рекурсивно просматривает дерево каталогов заданного диска в поисках файлов с расширениями EXE и SCR. В каждом каталоге пытается инфицировать не более 5 файлов. На каждом диске вирус пытается инфицировать не более 15 файлов. Во время поиска файлов периодически происходят небольшие задержки.
Файлы не инфицируются в следующих случаях:
1. размер файла меньше 17369 байт;
2. размер файла больше 5210399 байт;
3. содержат в своём имени строки «EXPLORER», «RUNDLL»;
4. содержатся в папке, имеющей в своём имени подстроку «SYSTEM»;
5. файл не является PE EXE файлом Windows;
6. файл уже заражён этим вирусом (определяется по наличию сигнатуры 00000011h на смещении 320h от начала файла). При этом сравнение строк производится с учётом регистра символов, т.е. файл с именем explorer.exe инфицируется.
После просмотра всех дисков, если все временные файлы удалены, окно закрывается.
При заражении файлов время создания, время последнего доступа и время последней записи в файл не меняются. Во время заражения тело вируса изменяется так, что заражённому файлу соответствует тот же значок, что и исходному. На время заражения файл переименовывается в файл с тем же именем, что и исходный, и расширением, случайно сгенерированным из 3-х больших английских букв. В случае ошибки во время инфицирования (например, невозможности произвести запись в файл) файл обратно не переименовывается. В следствие этого файлы, выполняющиеся во время попытки их заражения, остаются не заражёнными, но переименованными. Это может привести к невозможности запуска оболочки операционной системы (файл explorer.exe) после перезагрузки и другим нежелательным последствиям.
При инфицировании тело вируса записывается в начало файла, данные из начала файла, которые были на этом месте шифруются и записываются в конец файла. После этого в конец файла записывается случайное число байт от 1000 до 2999. Таким образом, размер файла увеличивается на случайное число байт в диапазоне от 18368 до 20367.
Рекомендации по удалению
Так как ручное удаление не представляется возможным, то для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
Virus.Win32.Sality" - семейство классических файловых вирусов
Found: 20
1. Virus.Win32.Sality.s
[ Virus Encyclopedia ]
2. Virus.Win32.Sality.r
[ Virus Encyclopedia ]
3. Virus.Win32.Sality.q
[ Virus Encyclopedia ]
4. Virus.Win32.Sality.p
[ Virus Encyclopedia ]
5. Virus.Win32.Sality.o
[ Virus Encyclopedia ]
6. Virus.Win32.Sality.n
[ Virus Encyclopedia ]
7. Virus.Win32.Sality.m
[ Virus Encyclopedia ]
8. Virus.Win32.Sality.l
[ Virus Encyclopedia ]
9. Virus.Win32.Sality.k
[ Virus Encyclopedia ]
10. Virus.Win32.Sality.g
[ Virus Encyclopedia ]
11 Virus.Win32.Sality.i
[ Virus Encyclopedia ]
12 Virus.Win32.Sality.d
[ Virus Encyclopedia ]
13 Virus.Win32.Sality.c
[ Virus Encyclopedia ]
14 Virus.Win32.Sality.a
[ Virus Encyclopedia ]
15 Virus.Win32.Sality.f
[ Virus Encyclopedia ]
16 Virus.Win32.Sality.e
[ Virus Encyclopedia ]
17 Virus.Win32.Sality.b
[ Virus Encyclopedia ]
18 Virus.Win32.Sality.j
[ Virus Encyclopedia ]
19 Virus.Win32.Sality.h
[ Virus Encyclopedia ]
20 Virus.Win32.Krepper.30760
[ Virus Encyclopedia ]
Технические детали
Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR. Упакован UPX.
Проявление в системе
* Появление сообщений с текстом «<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>»
* Если тип операционной системы — Windows 2000/XP , то частые появления сообщений системы защиты файлов Windows о нераспознанных версиях системных файлов Windows.
* Увеличение размеров EXE и SCR файлов.
* Возможно пропадание закладки «Версия» в окне со свойством файла (появляется при выборе соответствующего пункта в контекстном меню), в случае, если до этого эта закладка существовала.
* Изменение расширений у файлов с расширениями EXE и SCR на случайное расширение.
* Появление скрытых файлов с расширениями вида ~01 (если они не созданы пользователем) в каталоге, в котором присутствует файл с тем же именем и расширением EXE.
* При запуске файла, поражённого вирусом, при отсутствии выполняющейся другой копии вируса, в списке процессов появляется два процесса: имя_файла.EXE и имя_файла.~01.
Деструктивная активность
При запуске инфицированного файла вирус копирует запущенный файл в скрытый файл с идентичным именем, в котором последние 3 символа расширения заменены на строку вида «~01» (последние 2 символа — счётчик; если файл с таким именем существует, и попытка удалить его не удалась, счётчик увеличивается и попытка повторяется).
Если не получилось скопировать файл в текущий каталог (например, если файл находится на CDROM), вирус пытается скопировать файл во временный каталог, определяемый настройками системы (%TEMP%); в случае неудачи и этой попытки выводится сообщение «Fatal Error. Disk is write-protected.».
В случае удачного копирования, созданный файл лечится и запускается на выполнение с теми же параметрами командной строки, что и оригинальный файл.
После этого проверяется, существует ли в системе окно с заголовком «DEAD». Если такое окно существует, то ему передаётся строка с именем временного уже вылеченного файла. Имя файла передаётся с целью его последующего удаления. Если такого окна не существует, то оно создаётся, и запускается поток, инфицирующий файлы. Через каждые 5 секунд вирус пытается удалить созданный им во время лечения временный файл и файлы, созданные другими копиями вируса. Таким образом, в системе присутствует не более одного процесса, инфицирующего файлы данным вирусом. Этот процесс также удаляет временные файлы, созданные другими копиями вируса во время лечения.
Перед завершением работы вируса, если текущее число месяца — 10, 11, или 12-е, то выводится сообщение с заголовком:
Win32.HLLP.Kuku v1.09
И текстом:
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector
В ходе выполнения потока, инфицирующего файлы, производится поиск доступных для записи дисков с именами: C:, D:, ..., X:. Для всех найденных дисков запускается процедура инфицирования файлов. Данная процедура рекурсивно просматривает дерево каталогов заданного диска в поисках файлов с расширениями EXE и SCR. В каждом каталоге пытается инфицировать не более 5 файлов. На каждом диске вирус пытается инфицировать не более 15 файлов. Во время поиска файлов периодически происходят небольшие задержки.
Файлы не инфицируются в следующих случаях:
1. размер файла меньше 17369 байт;
2. размер файла больше 5210399 байт;
3. содержат в своём имени строки «EXPLORER», «RUNDLL»;
4. содержатся в папке, имеющей в своём имени подстроку «SYSTEM»;
5. файл не является PE EXE файлом Windows;
6. файл уже заражён этим вирусом (определяется по наличию сигнатуры 00000011h на смещении 320h от начала файла). При этом сравнение строк производится с учётом регистра символов, т.е. файл с именем explorer.exe инфицируется.
После просмотра всех дисков, если все временные файлы удалены, окно закрывается.
При заражении файлов время создания, время последнего доступа и время последней записи в файл не меняются. Во время заражения тело вируса изменяется так, что заражённому файлу соответствует тот же значок, что и исходному. На время заражения файл переименовывается в файл с тем же именем, что и исходный, и расширением, случайно сгенерированным из 3-х больших английских букв. В случае ошибки во время инфицирования (например, невозможности произвести запись в файл) файл обратно не переименовывается. В следствие этого файлы, выполняющиеся во время попытки их заражения, остаются не заражёнными, но переименованными. Это может привести к невозможности запуска оболочки операционной системы (файл explorer.exe) после перезагрузки и другим нежелательным последствиям.
При инфицировании тело вируса записывается в начало файла, данные из начала файла, которые были на этом месте шифруются и записываются в конец файла. После этого в конец файла записывается случайное число байт от 1000 до 2999. Таким образом, размер файла увеличивается на случайное число байт в диапазоне от 18368 до 20367.
Рекомендации по удалению
Так как ручное удаление не представляется возможным, то для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.
FEOFAN
http://feofan.com
Re: Вирусы и борьба с ними.
У меня была эта дрянь. Касперский справился на УРА с ней.
Re: Вирусы и борьба с ними.
хм... у мя Касперский снёс его без особых траблов, но на ноуте сложно поставить его, сразу умирает
хоть проц 1,0 и ОЗУ 640
Сенкс Lion3D.cg
хм... у мя Касперский снёс его без особых траблов, но на ноуте сложно поставить его, сразу умирает
хоть проц 1,0 и ОЗУ 640Сенкс Lion3D.cg
пока всё работает пучком.