компьютерный форум
Вернуться   Компьютерный форум > Программирование и вебстроительство > Программирование > Заказы на разработку ПО и сайтов > Защита информации > Компьютерные вирусы и борьба с ними

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 07.02.2011, 16:00   #1
Пользователи
 
Регистрация: 21.12.2007
Сообщений: 161
Thumbs up Worm.Win32. Viking.hb

Сетевой червь. Распространяется через доступные сетевые ресурсы. Является приложением Windows (PE EXE-файл). Имеет размер 67174 байта.

Инсталляция

После запуска программа копирует себя в корневой каталог Windows:

%WinDir%\Logo1_.exe
%WinDir%\uninstall\rundl132.exe

Для автоматической загрузки при каждом последующем старте системы червь добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load" = "%WinDir%\uninstall\rundl132.exe"

Также в корневом каталоге Windows создаётся файл размером 31116 байт, имеющий имя «RichDll.dll»:

%WinDir%\RichDll.dll

Червь генерирует ключ реестра, в котором хранит свои настройки:

[HKLM\SOFTWARE\Soft\DownloadWWW]

Распространение через локальную сеть

Вирус копирует свое тело во все папки, содержащие файлы с расширением .exe — на все разделы жесткого диска, начиная с последнего, а также на доступные для записи сетевые папки.

Деструктивная активность

Червь ищет в системе и завершает процессы со следующими именами:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
KVMONXP.KXP
KRegEx.exe
KVXP.KXP

Производится остановка службы «Kingsoft AntiVirus Service».

Вредоносная программа разыскивает в системе процесс avp.exe. Если находит, выполняет следующие действия:

* устанавливает уровень громкости звука на минимум, чтобы не было слышно звуковых предупреждений антивирусной программы;

* ищет в системе окно с именем класса «AVP.AlertDialog» и имитирует в нем нажатие на кнопку «Разрешить».

Червь следит за активностью пользователя в окнах следующих приложений:

lineage.exe
Mir.exe
Archlord.exe
LineageII.exe
Ragnarok.exe
GameClient.exe

Параметры учетных записей для подключения к серверам данных игр похищаются.

Собранную информацию червь отправляет на электронную почту злоумышленника.

Также вирус скачивает из сети Интернет программы по ссылкам:


http://*****ifafksajof.43242.com/gua/gua1.exe
http://*****ifafksajof.43242.com/gua/gua2.exe
http://*****ifafksajof.43242.com/gua/gua3.exe
http://*****ifafksajof.43242.com/gua/gua4.exe
http://*****ifafksajof.43242.com/gua/gua5.exe
http://*****ifafksajof.43242.com/gua/gua6.exe
http://*****ifafksajof.43242.com/gua/gua7.exe
http://*****ifafksajof.43242.com/gua/gua8.exe

После успешной загрузки файлы запускаются на исполнение.




семенчик вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
07.02.2011, 16:00
Техник
реклама
Thumbs up Worm.Win32. Viking.hb

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 07:17. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2