РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз
Банки, финансы, ценные бумагиРейтинги, конкурсы, юбилеиВыставки, cеминары, конференции
ПерсоныГосударство, общество, правоОбразование, обучениеИсследования, технологии
ИнтернетКомпьютеры и оборудованиеСистемная интеграцияПрограммное обеспепчениеДругие IT
ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
Мода, красота, стильМедицина и фармацевтикаКультура, искусство, киноЛитература, издательстваБлаготворительностьТВ, периодика, другие СМИСпорт
СтрахованиеРозничная торговля и дистрибуцияГостиничный бизнес, недвижимостьТуризм, путешествияЛогистика, почтовые услугиКонсалтинг, аудитРеклама и PRМероприятия, вечеринки, развлеченияДругие услуги

Компания «Доктор Веб» информирует о вирусной опасности - Win32.HLLW.Gavir заражает исполняемые файлы и ворует пароли!

Доктор Веб 		      15-08-2006
 

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

✐  место для Вашей рекламы

Техническая информация:

Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:

В Win9x:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load=rundl132.exe

В WinNT/2000/XP:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=rundl132.exe

Завершает процессы:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe

Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

Создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.

На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.

Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web CureIt! (http://download.drweb.com/drweb+cureit/).

Источник информации - компания "Доктор Веб"
www.drweb.com

Опубликовано: 15 августа 2006 г.

Ключевые слова: нет

 

 

Извините, комментариев пока нет
1999-2024 PressRoom. Материалы на сайте предназначаются для широкого распространения,
однако, при перепечатке пресс-релизов ссылка на pressroom.ru весьма желательна!