Тема: НОВЫЙ ОПАСНЫЙ ВИРУС

Ответить в теме
Показано с 1 по 3 из 3
  1. Вверх #1
    Новичок Аватар для !!!KILLER!!!
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    29
    Сообщений
    14
    Репутация
    9

    По умолчанию НОВЫЙ ОПАСНЫЙ ВИРУС

    [color=red]Email-Worm.Win32.Nyxem.e
    Статус: высокая опасность

    Технические детали

    Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также по открытым сетевым ресурсам.

    Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

    Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 95 КБ, размер в распакованном виде — около 176 КБ.

    Инсталляция

    После запуска, скрывая свою основную функциональность, червь создает в системном каталоге Windows и затем открывает ZIP-архив с тем же именем, что и запускаемый файл. Например:

    %System%\Sample.zip
    При инсталляции червь копирует себя в корневой и системный каталоги Windows и каталог автозагруски со следующими именами:

    %System%\New WinZip File.exe
    %System%\scanregw.exe
    %System%\Update.exe
    %System%\Winzip.exe
    %System%\WINZIP_TMP.EXE
    %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
    %Windir%\rundll16.exe

    После чего червь регистрирует себя в ключе автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "ScanRegistry"="scanregw.exe /scan"

    При каждой следующей загрузке Windows автоматически запустит файл червя.

    Также червь изменяет следующие ключи реестра:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
    "WebView"="0"
    "ShowSuperHidden"="0"


    Распространение через email

    Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

    dbx
    eml
    htm
    imh
    mbx
    msf
    msg
    nws
    oft
    txt
    vc

    Червь также сканирует файлы, имеющие в своем имени следующие подстроки:

    content
    temporary

    При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

    Характеристики зараженных писем

    Тема письма:
    *Hot Movie*
    A Great Video
    Arab sex DSC-00465.jpg
    eBook.pdf
    Fuckin Kama Sutra pics
    Fw:
    Fw: DSC-00465.jpg
    Fw: Funny
    Fw: Picturs
    Fw: Real show
    Fw: SeX.mpg
    Fw: Sexy
    Fwd: Crazy illegal Sex!
    Fwd: image.jpg
    Fwd: Photo
    give me a kiss
    Miss Lebanon 2006
    My photos
    Part 1 of 6 Video clipe
    Photos
    Re:
    Re: Sex Video
    School girl fantasies gone bad
    The Best Videoclip Ever
    You Must View This Videoclipe!


    Текст письма:
    ----- forwarded message -----
    >> forwarded message
    forwarded message attached.
    Fuckin Kama Sutra pics
    hello, i send the file. Bye
    Hot XXX Yahoo Groups
    how are you? i send the details.
    i attached the details. Thank you.
    i just any one see my photos. It's Free
    Note: forwarded message attached. You Must View This Videoclip!
    Please see the file.
    Re: Sex Video
    ready to be FUCKED
    The Best Videoclip Ever
    VIDEOS! FREE! (US$ 0,00)
    What?


    Имя файла-вложения:
    007.pif
    04.pif
    3.92315089702606E02.UUE
    677.pif
    Attachments[001].B64
    document.pif
    DSC-00465.Pif
    DSC-00465.pIf
    eBook.PIF
    eBook.Uu
    image04.pif
    New_Document_file.pif
    Original Message.B64
    photo.pif
    School.pif
    SeX.mim
    WinZip.BHX
    Word_Document.hqx
    Word_Document.uu


    Распространение через открытые сетевые ресурсы
    Червь копирует себя в следующие доступные сетевые ресурсы с именем Winzip_TMP.exe:

    ADMIN$
    C$


    Прочее

    В случае обнаружения на зараженном компьютере червь удаляет следующие записи в системном реестре:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "APVXDWIN"
    "avast!"
    "AVG_CC"
    "AVG7_CC"
    "AVG7_EMC"
    "AVG7_Run"
    "Avgserv9.exe"
    "AVGW"
    "BearShare"
    "ccApp"
    "CleanUp"
    "defwatch"
    "DownloadAccelerator"
    "kaspersky"
    "KAVPersonal50"
    "McAfeeVirusScanService"
    "MCAgentExe"
    "McRegWiz"
    "MCUpdateExe"
    "McVsRte"
    "MPFExe"
    "MSKAGENTEXE"
    "MSKDetectorExe"
    "NAV Agent"
    "NPROTECT"
    "OfficeScanNT Monitor"
    "PCCClient.exe"
    "pccguide.exe"
    "PCCIOMON.exe"
    "PccPfw"
    "Pop3trap.exe"
    "rtvscn95"
    "ScanInicio"
    "ScriptBlocking"
    "SSDPSRV"
    "TM Outbreak Agent"
    "tmproxy"
    "Vet Alert"
    "VetTray"
    "VirusScan Online"
    "vptray"
    "VSOCheckTask"


    Также червь выгружает из системы запущенные приложения, в именах которых присутствуют следующие строки:

    fix
    kaspersky
    mcafee
    norton
    removal
    scan
    symantec
    trend micro
    virus


    Червь удаляет все найденные файлы из следующих папок:

    %ProgramFiles%\Alwil Software\Avast4\*.exe %ProgramFiles%\BearShare\*.dll
    %ProgramFiles%\DAP\*.dll
    %ProgramFiles%\Grisoft\AVG7\*.dll
    %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
    %ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
    %ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
    %ProgramFiles%\McAfee.com\Agent\*.*
    %ProgramFiles%\McAfee.com\shared\*.*
    %ProgramFiles%\McAfee.com\VSO\*.exe
    %ProgramFiles%\Morpheus\*.dll
    %ProgramFiles%\NavNT\*.exe
    %ProgramFiles%\Norton AntiVirus\*.exe
    %ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
    %ProgramFiles%\Symantec\LiveUpdate\*.*
    %ProgramFiles%\Trend Micro\Internet Security\*.exe
    %ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
    %ProgramFiles%\TREND MICRO\OfficeScan\*.dll
    %ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
    %ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe


    Все перечисленные действия червя делают систему более уязвимой для последующих атак.

    Также червь может загружать из интернета свои обновления без ведома пользователя.

    Также на зараженном компьютере червь может блокировать работу мыши и клавиатуры.

    Третьего числа каждого месяца через 30 минут после загрузки зараженного компьютера червь перезаписывает файлы, имеющие следующие расширения:

    dmp
    doc
    mdb
    mde
    pdf
    pps
    ppt
    psd
    rar
    xls
    zip


    Испорченные файлы содержат следующий текст:

    DATA Error [47 0F 94 93 F4 F5]

    Рекомендации по удалению

    Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
    В диспетчере задач найдите процесс с одним из следующих имен:
    New WinZip File.exe
    rundll16.exe
    scanregw.exe
    Update.exe
    Winzip.exe
    WINZIP_TMP.EXE
    WinZip Quick Pick.exe


    Если обнаружите такой процесс — завершите его.
    Вручную удалите следующие файлы из корневого и системного каталогов Windows и каталога автозагрузки:
    %System%\New WinZip File.exe
    %System%\scanregw.exe
    %System%\Update.exe
    %System%\Winzip.exe
    %System%\WINZIP_TMP.EXE
    %User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
    %Windir%\rundll16.exe

    Удалите из системного реестра следующую запись:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "ScanRegistry"="scanregw.exe /scan"

    Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
    В случае если были повреждены ваши персональные программы (в большинстве случаев это антивирусные программы и межсетевые экраны), заново установите требуемое программное обеспечение.
    Произведите полную проверку компьютера антивирусом

    © Kaspersky Lab
    Respect, KILLER


  2. Вверх #2

    По умолчанию Re: НОВЫЙ ОПАСНЫЙ ВИРУС

    Цитата Сообщение от !!!KILLER!!!
    Respect, KILLER
    Сделай, чтобы было. Затем — чтобы было красиво. Затем — чтобы было быстро

  3. Вверх #3
    Спасибо Киллер - ЖЖОШ !!!!!!
    King Kong Died For Your Sins...

Ответить в теме

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения