Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.Alman

(Win32.Almanahe.B, TROJ_CORELINK.D, Win32/Alman, W32/Almanahe, W32/Almanahe.B, Trojan-Dropper.Win32.Small.axz, Backdoor:Win32/Afcore, Win32/Afcore, Generic.AFCore.5A56A01D, TROJ_AGENT.THK, BackDoor.Afcore.2.AK, Win32/Fanop, Virus.Win32.Kaos, Backdoor.Win32.Afcore.bt, Backdoor.Win32.Afcore.ck, Backdoor.Win32.Afcore.cd, W32/Rectix.A.DLL, Gen:Trojan.Heur.50708F9A8A, BackDoor.Afcore.2.AH, Generic.DZD, W32/Almanahe!dldr)

Добавлен в вирусную базу Dr.Web: 2007-06-08

Описание добавлено:

Тип вируса: Файловый вирус

Размер:

Уязвимые ОС: Win NT-based

Упакован: -

Техническая информация

  • При своём запуске создаёт следующие файлы: %windir%\linkinfo.dll, %systemroot%\system32\drivers\nvmini.sys и временный файл %systemroot%\system32\drivers\IsDrv118.sys.
  • Отслеживает подключение новых сменных носителей и, при подключении таковых, создаёт на них файлы boot.exe и autorun.inf.
  • Скрывает своё присутствие в инфицированной системе, пряча свои установленнные файлы:

    nvmini.sys
    linkinfo.dll
    autorun.inf
    boot.exe

    а также ветки реестра с подстрокой "nvmini".

  • Блокирует загрузку драйверов (антируткиты и сетевые фильтры):

    ISPUBDRV
    ISDRV1
    RKREVEAL
    PROCEXP
    SAFEMON
    RKHDRV10
    NPF
    IRIS
    NPPTNT
    DUMP_WMIMMC
    SPLITTER
    EAGLENT

  • Анализирует таблицы импортов и блокирует драйверы, работающие с KeServiceDescriptorTable.

  • Блокирует загрузку следующих библиотек:

    DLLWM.DLL
    DLLHOSTS.DLL
    NOTEPAD.DLL
    RPCS.DLL
    RDIHOST.DLL
    RDFHOST.DLL
    RDSHOST.DLL
    LGSYM.DLL
    RUND11.DLL
    MDDDSCCRT.DLL
    WSVBS.DLL
    CMDBCS.DLL
    RICHDLL.DLL
    WININFO.RXK
    WINDHCP.DLL
    UPXDHND.DLL

  • Внедряет свою библиотеку в Explorer.exe
  • Ожидает свои обновления в файле %windir%\AppPatch\AcLue.dll
  • Заражает файлы на всех дисках, за исключением системных файлов, защищенных SFC или находящихся в подкаталогах:

    \QQ
    \WINNT\
    \WINDOWS\
    LOCAL SETTINGS\TEMP\

  • Не заражает файлы их списка:

    zhengtu.exe
    audition.exe
    kartrider.exe
    nmservice.exe
    ca.exe
    nmcosrv.exe
    nsstarter.exe
    maplestory.exe
    neuz.exe
    zfs.exe
    gc.exe
    mts.exe
    hs.exe
    mhclient-connect.exe
    dragonraja.exe
    nbt-dragonraja2006.exe
    wb-service.exe
    game.exe
    xlqy2.exe
    sealspeed.exe
    asktao.exe
    dbfsupdate.exe
    autoupdate.exe
    dk2.exe
    main.exe
    userpic.exe
    zuonline.exe
    config.exe
    mjonline.exe
    patcher.exe
    meteor.exe
    cabalmain.exe
    cabalmain9x.exe
    cabal.exe
    au_unins_web.exe
    xy2.exe
    flyff.exe
    xy2player.exe
    trojankiller.exe
    patchupdate.exe
    ztconfig.exe
    woool.exe
    wooolcfg.exe

  • Завершает процессы других вредоносных программ:

    sxs.exe
    lying.exe
    logo1_.exe
    logo_1.exe
    fuckjacks.exe
    spoclsv.exe
    nvscv32.exe
    svch0st.exe
    c0nime.exe
    iexpl0re.exe
    ssopure.exe
    upxdnd.exe
    wdfmgr32.exe
    spo0lsv.exe
    ncscv32.exe
    iexplore.exe
    iexpl0re.exe
    ctmontv.exe
    explorer.exe
    internat.exe
    lsass.exe
    smss.exe
    svhost32.exe
    rundl132.exe
    msvce32.exe
    rpcs.exe
    sysbmw.exe
    tempicon.exe
    sysload3.exe
    run1132.exe
    msdccrt.exe
    wsvbs.exe
    cmdbcs.exe
    realschd.exe

  • Осуществляет попытки распространения по локальной сети, подключаясь как Administrator, используя пароли:

    ""
    "admin"
    "1"
    "111"
    "123"
    "aaa"
    "12345"
    "123456789"
    "654321"
    "!@#$"
    "asdf"
    "asdfgh"
    "!@#$%"
    "!@#$%^"
    "!@#$%^&"
    "!@#$%^&*"
    "!@#$%^&*("
    "!@#$%^&*()"
    "qwer"
    "admin123"
    "love"
    "test123"
    "owner"
    "mypass123"
    "root"
    "letmein"
    "qwerty"
    "abc123"
    "password"
    "monkey"
    "password1"

    В случае удачи создает в корневом каталоге диска С файл setup.exe и удаленно его запускает.

  • Осуществляет попытки скачать другие вредоносные программы через браузер по умолчанию, например:
    Trojan.PWS.Gamania.4375,Trojan.PWS.Wow.632, Trojan.PWS.Legmir.1949
  • Информация по восстановлению системы

    1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
    2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
    3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированные компьютеры Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".