Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Вредоносные программы » Компьютерный червь для Yahoo! Messenger
Вредоносные программы

Компьютерный червь для Yahoo! Messenger

автор: Administrator | 11 мая 2010, 17:05 | Просмотров: 8613
теги: Вредоносные программы, Yahoo, Messenger, Instant Messaging, компьютерный червь



Компьютерный червь для Yahoo! Messenger Недавно было сообщено, что через Yahoo! Messenger распространяется опасный червь, который проникнув в компьютер жертвы, рассылает сообщения по адресам из списка контактов. В частности, сообщение содержит веб-ссылку на якобы интересную фотографию, которая на самом деле является вирусом.

Вот последние ссылки, которые отправляет червь:
хттп://www.viptabor-space.com/image.php
хттп://photo-o5vip.com/image.php
хттп://www.facebook-style.com/image.php?=pic346436.JPG=
хттп://tinyurl.com/38bj2cp
хттп://82.114.87.46/a2re.jpg
хттп://hit-img.com/image.php
хттп://www.toplmages.com/image.php
хттп://msearch-lmages.com/image.php
хттп://save.infos-blog.net/photos/pic08052010-jpg.scr
хттп://jbillu.net/image/IMG08052010-JPG.scr
хттп://space4lamges.com/image.php


Во-первых, ни в коем случае не открыть эти адреса. А во-вторых, Вы должны предупреждать Вашего знакомого, что его компьютер заражён и, раз уж прочитали этот пост, Вы должны помочь ему избавиться от этого компьютерный червя.

При первом запуске, червь будет создать следующие файлы:
%Windir%\infocard.exe
%ProgramFiles%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\mdll.dll
%Windir%\wintybrd.jpg
%Windir%\winbrd.jpg


Для автоматического запуска при каждом следующем старте системы, компьютерный червь добавляет ключи системного реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]



После запуска червь загружает разные файлы, которые находиться по адресу:
хттп://c1.ac-images.myspacecdn.com
хттп:// vidrushed.com
хттп://x.myspacecdn.com
хттп://js.myspacecdn.com
хттп://cache.fimservecdn.com
хттп://browseusers.myspace.com


и попробует подключиться к один из следующих серверов:
200.113.159.243:1234
204.0.5.40:80
204.0.5.42:80
204.0.5.43:80
204.0.5.50:80
208.71.123.131:80
216.178.38.168:80
63.135.80.58:80
63.135.86.21:80
63.135.86.25:80
64.210.61.208:80


Помимо этого, червь будет отключить «Автоматическое Обновление» и будет удалить системный файл %System%\drivers\etc\hosts.

Для того чтобы удалить этот компьютерный червь, можете использовать бесплатной утилитой от компании BitDefender — Anti-Worm.Palevo.Gen.



источник:
threatexpert.com
@ Ua-life
11 мая 2010, 19:45 | |  
Аватар пользователя Ua-life
карма: +66.728
комментариев: 67
новостей: 0
группа: Посетители
За новость багодарен
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.