Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLW.Facebook.133

(WORM_KOOBFACE.X, TR/Agent.covi, Worm:Win32/Koobface.gen!D , W32/Koobface.worm.gen.f, W32/Koobface.worm.gen.g, Trojan.Win32.Agent.covi, DR/Koobface.AEJ, Downloader-EV, Parser error, TROJ_AGENT.AWOR, Win32.Worm.Koobface.ADX, Packed.Win32.Krap.r, Win32.Worm.Koobface.ADQ, W32/Koobface.worm.gen.e, Trojan-Downloader.Win32.Injecter.ddo, Net-Worm.Win32.Koobface.anq, W32.Koobface.A, Worm/Koobface.ADX, Generic Dropper.ho, WORM_KOOBFACE.DF)

Добавлен в вирусную базу Dr.Web: 2009-07-06

Описание добавлено:

Способ распространения

Сетевой червь Win32.HLLW.Facebook.133, распространяется в популярных соц. сетях в виде ссылки, при активации которой происходит переход на веб-страницу, содержащую вредоносный видео-ролик. При попытке просмотра которого пользователю предлагается установить дополнительное ПО.

Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Facebook.133 система проверяется на заражение, путем проверки наличия вируса в системном каталоге %WINDIR% и если система уже заражена процесс завершается. Если же система не заражена червь создает копию самого себя в %WINDIR%\ld12.exe, после этого создает bat-файл в %WINDIR%\567788.bat, который производит удаление исполняемого файла установщика.

Далее запускается на выполнение исполняемый файл из %WINDIR%\ld12.exe, который создает ключ системного реестра HKCU\\Software\Microsoft\Windows\CurrentVersion\Run\sysldtray, для автозагрузки вируса при старте системы. После этого удаляется ключ реестра HKCU\AppEvents\Schemes\Apps\Explorer\Navigating. После этого осуществляется поиск в папке по умолчанию для хранения cookies от браузера Internet Explorer, файлов с сookies для следующих соц. сетей:

  • facebook.com
  • myspace.com
  • twitter.com
  • hi5.com
  • netlog.com
  • tagged.com
  • bebo.com

Проверяется наличие соединения с интернетом методом обращения к странице google.com, если приходит ответ значит соединение с интернетом есть. Далее происходит обращение "POST [имя сайта]/achcheck.php" по следующем адресам:

  • uprtrishest.com
  • rd040609-cgpay.net
  • trisem.com
  • upr0306.com

После того, как будет получен ответ ACH_OK, на сервер с которого он был получен передаются информация о найденных файлах с сookies. Передача осуществляется при помощи POST-запроса на адрес [имя сайта]/ld/gen.php. Выглядит это так:

  • ck= [facebook cookie]
  • c_fb= [facebook cookie]
  • c_ms= [myspace cookie]
  • c_hi= [hi5 coockie]
  • c_tw= [twitter cookie]
  • c_be= [bebo cookie]
  • c_tg= [tagged cookie]
  • c_nl= [netlog cookie]

Червь Win32.HLLW.Facebook.133 скачивает из интернет и устанавливает на зараженную систему следующие вирусы:

  • Trojan.DownLoad.36180
  • Trojan.MulDrop.32092
  • Trojan.Siggen.2397