Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLP.Sector

(Virus:Win32/Sality.R, Win32.HLLP.Kuku.309, PE_SALITY.AS, Parser error, W32/Sality.Q, Win32.Sality.M, Win32/Sality, BKDR_SALITY.A, W32/Sality.dll, TR/Kookoo.A.1, Win32.HLLP.Kuku.303b, W32/Sality.gen, Email-Worm.Win32.Brontok.a, I-Worm/Brontok.A, Backdoor.Hupigon.ADI, W32/Sality.w, W32/Sality.Y, Win32.Brontok.AP@mm, W32/Sality.L, Win32.Sality.P, Win32.HLLP.Kuku.304, W32/Sality.x, W32/Sality.x.dll, Trojan.Packer.StpdLgc, Trojan.VB.IN, BehavesLike:Win32.SMTP-Mailer)

Добавлен в вирусную базу Dr.Web: 2003-01-23

Описание добавлено:

Тип вируса: Паразитический вирус

Уязвимые ОС: Win95/98/Me/NT/2000/XP/2003

Размер: 18 - 48 Кбайт

Упакован: UPX

Техническая информация

  • При запуске выводит на экран окно "Win32.HLLP.Kuku v3.02 <<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>> Copyright (c) by Sector", создаёт в системном каталоге Windows файл динамической библиотеки, которую внедряет во все запущенные процессы. Имя файла динамической библиотеки может быть olemdb32.dll, winresd32.dll, wmimgr32.dll.
  • Заражает все файлы с расширениями EXE и SCR на всех логических дисках, дописываясь при этом в конец последней секции PE-файла.
  • Отслеживает заголовки активных окон программ.
  • Регистрирует все нажимаемые клавиши при работе пользователя с активными окнами программ. Отслеживает окна, содержащие следующие подстроки:

    DRWEB
    OUTPOST
    ZONEALARM
    NOD32
    NMAIN
    MCUPDATE
    DOMAIN
    DEVICE
    PHONE
    T EXCEL
    T WORD
    SYSTEM
    REGIST
    MONEY
    OUTLOOK
    MOZIL
    LOGIN
    REMOTE
    ONNECT

    Собранная информация сохраняется в файле %System%\TFTempCache.

  • Получает список и параметры модемных соединений, похищает содержимое системного парольного кэша, а также сведения о последних открытых в Internet Explorer ссылках. Кроме того, похищает информацию, содержащуюся в файле %WINDIR%\edialer.ini.
  • Похищенную информацию передаёт злоумышленнику по электронной почте.
  • Осуществляет поиск и удаляет, в случае нахождения, файлы, содержащие в своем имени строку drw, а также файлы с расширениями:

    .vdb
    .key
    .avc
    .tjc

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".