Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Generic.276

(W32/Generic.a@MM, Email-Worm.Win32.VB.br, Parser error, Email-Worm.Win32.generic, I-Worm/Traxg.A, Win32.Traxgy.A@mm, Win32/Wukill.AH@mm, Win32/Traxg.A!Worm, W32.Traxg@mm, WORM_WUKILL.GEN, WORM_TRAXG.A)

Добавлен в вирусную базу Dr.Web: 2004-02-27

Описание добавлено:

Описание

Win32.HLLM.Generic.276 [aka Wullik] - почтовый червь массовой рассылки. Написан на MS Visual Basic. Размер исполняемого модуля червя 49 152 байта.

Распространение

Червь предпринимает попытки распространяться по электронной почте через MS Outlook. Отправка писем осуществляется по всем адресам, обнаруженным им в локальной адресной книге Windows. Почтовое сообщение, инфицированное Win32.HLLM.Generic.276, обладает следующими характеристиками:

Тема и текст сообщения составлены на китайском языке.

Вложение: MShelp.EXE

Действия

Будучи активированным, червь создает в директории Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) свою копию Mstray.exe и вносит изменения в следующую реестровую запись:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"RavTime" = %WinDir%\Mstray.exe
, что обеспечивает его запуск при каждом начале работы пользователя в Windows. Такое же значение червь присваивает ключу реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup

В пораженной системе червь производит следующие действия:

  • Копирует себя в виде файла winfile.exe на гибкий диск А.
  • Блокирует возможность просмотра скрытых и системных файлов, внося изменения в ключ реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
    Hidden=0
  • Демонстрирует ложное сообщение следующего содержания:
    Заголовок: Warning!
    Текст: This File Has Been Damage!
  • Если пользователь через Explorer открывает окно, в названии которого содержится местонахождение червя, он копирует себя в другое место в виде файла со случайным названием, после чего удаляет свою копию из прежнего места.