Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Perf

(W32/Areses.dr, MalwareScope.Trojan-PSW.Pinch.1, TR/Crypt.XPACK.Gen, Email-Worm.Win32.Scano.ay, WORM_SCANO.AY, EXP/Scano, Trojan.HTML.Dropper.A, W32/Areses.f, VBS/Inor, Email-Worm.Win32.Scano.gen, I-Worm/Scano, TrojanDropper:VBS/Scano.gen, WORM_SCANO.BH, VBS/Drop.Inor.CT, I-Worm/Scano.BJ, Dropper.Inor, TR/Crypt.UPKM.Gen, W32/Areses.a@MM, Worm:Win32/Scano.dr, Mal_VBSDrpr, TR/Vundo.Gen, I-Worm/Scano.BP, Generic.dw, Generic.SGO, I-Worm/Scano.AR, HTML/Drop.Scano.L)

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 17 872 байт

Упакован: Нет

Техническая информация

  • Распространяется по электронной почте в виде вложения. Подделывает адрес отправителя.
  • Варианты тем для писем:

    Привет,какие новости?
    Ты сегодня ко мне приедешь?
    Я тебя сегодня видела?

  • Варианты тел писем:
  • Приветик, как у тебя дела?... Ты сегодня в интернете будешь?
    Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока)
    Ксюха

    Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать...
    Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду!

    Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась...
    Держи архив с документом, позвоним не сегодня, пока.

    В качестве вложения создается .cab архив, в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl".

    Пример: "me.doc .cpl" внутри архива me.cab

    Запуск вируса.

  • Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
  • Свою автозагрузку при старте системы обеспечивает записью в реестре:

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    Debugger = "C:\WINDOWS\csrss.exe"

  • Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.

    Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows"

  • Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml
  • Извлекаемые адреса не должны содержать подстрок:

    "@example.""Mailer-Daemon@""-0"
    "2003""@subscribe"".00"
    "2004" "kasp" "@."
    "2005" "admin" "---"
    "2006" "icrosoft" "abuse"
    "@hotmail" "support" "panda"
    "@msn" "ntivi" "cafee"
    "@microsoft" "unix" "spam"
    "rating@" "bsd" "pgp"
    "f-secur" "linux" "@avp."
    "news" "listserv" "noreply"
    "update" "certific" "local"
    ".qmail" "torvalds@" "root@"
    ".gif" "sopho" "postmaster@"
    "anyone@" "@foo" ".0"
    "bugs@" "@iana" ".1"
    "contract@" "free-av" ".2"
    "feste" "@messagelab" ".3"
    "gold-certs@""winzip" ".4"
    "help@" "google" ".5"
    "info@" "winrar" ".6"
    "nobody@" "samples" ".7"
    "noone@" "spm111@" ".8"
    "0000" ".." ".9"

  • Действия.

    При старте пытается скачать и исполнить непосредственно .exe файл

    http: // 85.249.23.43 / 0.exe

    или получить зашифрованный список адресов для дальнейшего скачивания:

    http: // 85.249.23.35/m2/ g.php
    http: // 207.46.250.119/g/ m.php
    http: // 84.22.161.192/s/ f.php

    В случае обнаружения виртуальной машины вирус открывает сайт www.na<censored>uy.com и завершает свою работу.

    Рекомендации по восстановлению системы

    а) Необходимо скачать Dr.Web CureIt.
    б) Отключить компьютер от локальной сети и/или Интернет.
    в) Перезагрузить систему в "Безопасный режим с поддержкой командной строки" (клавиша F8 при старте системы).
    г) Набрать в командной строке и выполнить следующую команду:
    reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f
    д) Перезагрузить систему.
    е) Запустить утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить.

    Модификация Win32.HLLM.Perf от 06.09.2006

  • Распространяется в виде письма с вложением в виде .hta файла
  • При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта), который запускается на исполнение.
  • Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
  • Свою автозагрузку при старте системы обеспечивает записью в реестре:

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    Debugger = "C:\WINDOWS\csrss.exe"

  • Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.
  • Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows".
  • Имя вложения может быть следующим:

    Message
    File
    Document
    README
    Passwords
    Readme
    Important
    New
    COOL
    Archive
    Fotos
    private
    confidential
    secret
    images
    your_documents
    backup

  • Варианты темы письма:

    Hi, what's up?
    He, where are you?
    Hi, drop me a line!!!
    Hi! Please write to me urgently!
    Hi! I'm waiting you online today!
    Will you be online today?
    When you're gonna answer me?
    Re: write to me!
    Re: Call me!
    Re: Where are you?
    Re: When you're gonna answer me?
    Hi!!! How's the mood?
    Re: How's the mood?
    Re: Where have you been?

  • Тело письма может содержать следующий текст:

    Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

    Hi, what's up? Will you show up online today?Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

    Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

    Hi! You disappeared again. If you come online, drop me a line, ok?Btw, I sent you those docs that you've been looking for. Check them out. Bye!

    Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

    Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

    Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

    Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

    Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

    Hi, I found that program you asked for. Find it attached. Bye.

    Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...What's up! You haven't been writing for a long time… I got news. I've finally that program you needed… I'm sending it out. Use it. Bye!

    Hi, drop me a line today, ok? And see the program I'm sending. Bye!

    Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

    Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.

  • Вирус создаёт файлы для распространения по файлообменным сетям, присваивая им расширения .pif, .scr или .exe:

    Sex and more.rtf
    3D Studio Max 6 3dsmax
    ACDSee 10 full
    Adobe Photoshop 10 full
    Adobe Premiere 10
    Ahead Nero 8
    Altkins Diet.doc
    American Idol.doc
    Arnold Schwarzenegger.jpg
    Best Matrix Screensaver new
    Britney sex xxx.jpg
    Britney Spears and Eminem porn.jpg
    Britney Spears blowjob.jpg
    Britney Spears cumshot.jpg
    Britney Spears fuck.jpg
    Britney Spears full album.mp3
    Britney Spears porn.jpg
    Britney Spears Sexy archive.doc
    Britney Spears Song text archive.doc
    Britney Spears.jpg
    Britney Spears.mp3
    Clone DVD 6
    Cloning.doc
    Cracks & Warez Archiv
    Dark Angels new
    Dictionary English 2004 - France.doc
    DivX 8.0 final
    Doom 3 release 2
    E-Book Archive2.rtf
    Eminem blowjob.jpg
    Eminem full album.mp3
    Eminem Poster.jpg
    Eminem sex xxx.jpg
    Eminem Sexy archive.doc
    Eminem Spears porn.jpg
    Eminem.mp3
    Full album all.mp3
    Gimp 1.8 Full with Key
    Harry Potter 1-6 book.txt
    Harry Potter 5.mpg
    Harry Potter all e.book.doc
    Harry Potter e book.doc
    Harry Potter game
    Harry Potter.doc
    Harry Potter and the Sorcerer's Stone game
    How to hack new.doc
    Internet Explorer 9 setup
    Kazaa Lite 4.0 new
    Kazaa new
    Keygen 4 all new
    Learn Programming 2004.doc
    Lightwave 9 Update
    Magix Video Deluxe 5 beta
    Matrix 3 .mpg
    Microsoft Office 2003 Crack best
    Microsoft WinXP Crack full
    MS Service Pack 6
    source code
    Norton Antivirus 2005 beta
    Opera 11 free
    Partitionsmagic 10 beta
    Porno Screensaver britney
    RFC compilation.doc
    Ringtones.doc
    Nostradamus.doc
    World Trade Center last video.mpeg
    anthrax.doc
    Osama Bin Laden.jpg
    Taliban
    Osama bin Laden.mpg
    Yellow Pages
    Ringtones.mp3
    Saddam Hussein.jpg
    Screensaver2
    Serials edition.txt
    Smashing the stack full.rtf
    Star Office 9
    Teen Porn 15.jpg
    The Sims 4 beta
    Ulead Keygen 2004
    Visual Studio Net Crack all
    Vista review.doc
    WinAmp 13 full with sources
    Windows Vista Sourcecode.doc
    Windows 2003 crack
    Windows XP crack
    WinXP eBook newest.doc
    XXX hardcore pics.jpg

    в каталогах, содержащих подстроки:

    bear
    donkey
    download
    ftp
    htdocs
    http
    icq
    kazaa
    lime
    morpheus
    mule
    shar
    source
    upload
    pub

  • Для своей расслыки по электронной почте ищет адреса, просматривая файлы со следующими расширениями:

    .adb
    .asp
    .cfg
    .cgi
    .mra
    .dbx
    .dhtm
    .eml
    .htm
    .html
    .jsp
    .mbx
    .mdx
    .mht
    .mmf
    .msg
    .nch
    .ods
    .oft
    .php
    .pl
    .sht
    .shtm
    .stm
    .tbb
    .txt
    .uin
    .wab
    .wsh
    .xls
    .xml
    .dhtml
  • Не рассылает свои копии, если почтовый адрес содержит следующие подстроки:

    @microsoft
    rating@
    f-secur
    news
    update
    .qmail
    .gif
    anyone@
    bugs@
    contract@
    feste
    gold-certs@
    help@
    info@
    nobody@
    noone@
    0000
    Mailer-Daemon@
    @subscribe
    kasp
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    torvalds@
    sopho
    @foo
    @iana
    free-av
    @messagelab
    winzip
    google
    winrar
    samples
    spm111@
    ..
    -0
    .00
    @.
    ---
    abuse
    panda
    cafee
    spam
    pgp
    @avp.
    noreply
    local
    root@
    postmaster@
    .0
    .1
    .2
    .3
    .4
    .5
    .6
    .7
    .8
    .9
  • Пытается получить зашифрованный список адресов для дальнейшего скачивания

    hxxp://xeseretuo.com/m2/g.php
    hxxp://81.95.146.155/gt5/ugk.php
    hxxp://81.95.146.155/hu/s2.php