КОРИСТУВАЧАМ

Закрити

Пошук
Пошук

Пошук

Підтримка
Цілодобова підтримка | Правила звернення

Напишіть

Запит через форму

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -
Створити новий запит Поширені запитання

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрити
Сервіси
Сканери
Dr.Web vxCube
Демо
Експертиза ВКІ
Вірусна бібліотека
База знань

Технології

Терміни

Навчання

Міфи

Новини

Win32.HLLM.Limar.2207

(W32/Stration@MM, TR/Crypt.XDR.Gen, Win32/Stration.AAX, PAK_Generic.001, Win32.Warezov.ACO@mm, Win32/Stration.XJ, Email-Worm.Win32.Warezov.sm, W32/Stration.gen@MM, Mal_Strat-4, I-Worm/Stration, WORM/Stration.Gen, WORM_STRAT.GEN-3, Parser error, I-Worm/Stration.FEU, Trojan:Win32/Stration.F!dll, WORM_STRATION.SB, Worm/Strati.91350.A)

Добавлен в вирусную базу Dr.Web: 2007-10-19

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win NT-based

Размер: 125 440 байт

Упакован: UPX, UPACK

Техническая информация

  • Может распространяться самостоятельно с помощью спам-рассылок либо с помощью различных загрузчиков или дропперов.

  • При запуске создаёт файлы:

    %sytemroot%\system32\quarwups.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2207)
    %sytemroot%\System32\quarwups.exe (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2207)
    %sytemroot%\system32\lpkadvp.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2206)
    %sytemroot%\system32\adsladsm.exe (определяется антивирусом Dr.Web как Win32.HLLM.Limar)
    %sytemroot%\system32\picnmsji.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar)
    %sytemroot%\System32\quarwups.dat

  • Для обеспечения своего запуска при каждом старте Windows регистрирует созданные файлы в системном реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\quarwups\DllName:
    "C:\WINDOWS\system32\quarwups.dll"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs:
    "lpkadvp.dll"

  • Скачивает и устанавливает дополнительные модули, которые подменяют MSN Messenger, и начинают рассылать сообщения следующего содержания: "New unofficial possibilities of the ICQ [link-to-source]"

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".