Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Описание вирусов
Показать сообщение отдельно

Аватара для paulkorotoon

Старожил


Сообщения: 392
Благодарности: 40

Профиль | Отправить PM | Цитировать

Цитата Nayan:
Переведите пожалуйста описание вируса »
Вот . Рекомендации переводить не стал, там просто общие советы. P.S. 100-процентной точности твердо гарантировать не могу ..
Обнаружен: 1 августа 2007
Известен как: Dung.A [Panda Software], W32/VB-DZE [Sophos], W32/VB-DGA [Sophos], WORM_SOHANAD.DR [Trend]
Тип: Червь
Размер кода: 57,344 байт
Заражению подвержены: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

При запуске червь создает следующие файлы:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe
%Windir%\SVIQ.EXE
%System%\NWB.dat
C:\PNga.txt

Затем прописывает в реестр (в автозапуск) ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe"

Также копирует себя на все съемные устройства и на каждый локальный диск, копия имеет такое же имя, как и папка, в которой лежит. Также копия вируса имеет иконка папки, что по идее должно сбить с толку пользователя и заставить его запустить вирус. Пример:
[буква диска]:\temp\temp.exe

Червь добавляет в файл %Windir%\wininit.ini, в раздел [rename], строку:
NUL=C:\ WINDOWS\Help\Other.exe

Вирус распространяется рассылкой сообщений всем онлайн-контактам Yahoo! Instant Messenger. Текст может быть в одном из следующих вариантов:
[http://]dungcoivb.googlepages.com/FUN[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi...........

Если было отправлено второе сообщение, - червь пытается переслать себя непосредственно контакту; в первом же случае - присылает ссылку на себя.

-------
Весь мир — у тебя в голове.

Последний раз редактировалось paulkorotoon, 14-10-2009 в 10:36.

Отправлено: 23:47, 13-10-2009 | #41

Название темы: Описание вирусов