Тип вируса: Файловый вирус
Уязвимые ОС: Windows
Размер: 57 344 байт
Упакован: —
Техническая информация
- При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Internet Settings\
GlobalUserOffline=0 - Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\policies\system
EnableLUA=0 - Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec" - Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914 - Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188 - Внедряет свой код в память всех активных процессов.
- Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
после этого загрузка в Безопасный режим невозможна. - Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.
- Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".
- В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:
"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM." - Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".
- Cкачивает и запускает другие вредоносные программы из сети.
- В зависимости от модификации может при помощи своего драйвера блокировать доступ к
сайтам содержащим в названии:
"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."
Информация по восстановлению системы
- Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
- С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
- Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
- Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.
