Trojan.WeakAdam
(TR/Dropper.Gen, Possible_Otorun8, New Malware.bw, Worm:Win32/Autorun.LD
, Worm:Win32/Autorun.LD, Parser error, TR/Crypt.CFI.Gen, IM-Worm.Win32.Sohanad.gt, Cryp_Xed-6, W32/Autorun.worm.h)
Добавлен в вирусную базу Dr.Web:
2007-05-21
Описание добавлено:
2007-05-21
Тип вируса: Троянская программа
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер: 28 876 байт
Упакован: NSPACK
Техническая информация
Написан на языке программирования Visual Basic
При своём запуске создаёт свои копии в системном каталоге Windows с именами TEMP1.exe, TEMP2.exe, AdamEva.exe.
Также создаёт файлы Adam.Eva, XFlys.url в каталогах
C:\Documents and Settings\All Users\Desktop\,
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\,
\%WINDIR%\Fonts\
\%WINDIR%\system32\
Кроме того, создаёт копию TEMP1.exe с корневом каталоге диска С:\
Для обеспечения своего автозапуска в корневом каталоге создаёт файл autorun.inf с атрибутами "Архивный", "Скрытый" и "Системный". Кроме того, эти же атрибуты присваиваются файлам TEMP1.exe и TEMP2.exe.
Модифицирует ветвь системного реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
"C:\WINDOWS\system32\AdamEva.exe"
Блокирует вызов Диспетчера задач и работу с реестром.
Отключает отображение скрытых файлов
Меняет формат отображения системной даты - в результате пользваотелю выводится "LOVE hh:mm:ss tt"
В заголовок главного окна Windows Media Player выводит надпись " EVA LOVE ADAM? - http://www.microsoft.com"
Меняет стартовую страницу Internet Explorer
Изменяет заголовок окна Internet Explorer на "http://www.microsoft.com"
Устанавливает значения веток реестра:
HKCU\Control Panel\International\s1159
"Adam"
HKCU\Control Panel\International\s2359
"Eva"
Тип вируса: Троянская программа
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер: 28 876 байт
Упакован: NSPACK
Техническая информация
Написан на языке программирования Visual Basic
При своём запуске создаёт свои копии в системном каталоге Windows с именами TEMP1.exe, TEMP2.exe, AdamEva.exe.
Также создаёт файлы Adam.Eva, XFlys.url в каталогах
C:\Documents and Settings\All Users\Desktop\,
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\,
\%WINDIR%\Fonts\
\%WINDIR%\system32\
Кроме того, создаёт копию TEMP1.exe с корневом каталоге диска С:\
Для обеспечения своего автозапуска в корневом каталоге создаёт файл autorun.inf с атрибутами "Архивный", "Скрытый" и "Системный". Кроме того, эти же атрибуты присваиваются файлам TEMP1.exe и TEMP2.exe.
Модифицирует ветвь системного реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
"C:\WINDOWS\system32\AdamEva.exe"
Блокирует вызов Диспетчера задач и работу с реестром.
Отключает отображение скрытых файлов
Меняет формат отображения системной даты - в результате пользваотелю выводится "LOVE hh:mm:ss tt"
В заголовок главного окна Windows Media Player выводит надпись " EVA LOVE ADAM? - http://www.microsoft.com"
Меняет стартовую страницу Internet Explorer
Изменяет заголовок окна Internet Explorer на "http://www.microsoft.com"
Устанавливает значения веток реестра:
HKCU\Control Panel\International\s1159
"Adam"
HKCU\Control Panel\International\s2359
"Eva"
Завершает работу утилиты отображения активных процессов Process Explorer
Информация по восстановлению системы
1. Скачать с заведома неинфицированного компьютера с выходом в Интернет бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
2. Отключить Восстановление системы
3. Перезагрузить инфицированный компьютер в Безопасный режим (F8 при старте Windows)
4. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
5. Восстановить реестр из резервной копии.
Информация по восстановлению системы
1. Скачать с заведома неинфицированного компьютера с выходом в Интернет бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
2. Отключить Восстановление системы
3. Перезагрузить инфицированный компьютер в Безопасный режим (F8 при старте Windows)
4. Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
5. Восстановить реестр из резервной копии.