Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

W32.Redlofs

автор: Administrator | 9 февраля 2009, 17:00 | Просмотров: 4981
теги: Вредоносные, программы, Червь, Windows, реестр, диск, автозапуск, autorun.inf



Описание:
Червь для платформы Windows. Распространяется копированием на все диски. Создает на каждом диске файл автозапуска autorun.inf, а также делает директории скрытыми и создает свои исполняемые копии с таким же именем и иконкой директории.

Добавляет в контекстное меню (вызываемое по правой кнопке мыши) пункт "Scan for viruses by Bkav2006". При запуске Редактора реестра (regedit32.exe) может завершить сеанс работы администратора.

Проявляется визуально: вокруг указателя мыши вращается мигающая салатовая точка.

Тип вредоносной программы:
Червь

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
73.000 байт

Технические детали:
При старте создает следующие файлы:
* %Windir%\10.1.08.exe
* %Windir%\1o.1.o8.exe
* %Системный_диск%\10.1.08.exe

(%Windir% - директория, в которую установлена Windows, обычно "C:\Windows")

Обеспечивает себе автозагрузку при каждом запуске Windows тремя способами. Создает (1 запись) и модифицирует (2,3) следующие записи в реестре:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Shell" = "Explorer.exe C:\WINDOWS\1o.1.o8.exe shell"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Userinit" = "C:\WINDOWS\10.1.08.exe init"


Создает в реестре подключ:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ .key


Создает в реестре ключ:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".key" = "exefile"

Модифицирует следующие записи в реестре:
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ "NoFolderOptions" = "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableTaskMgr" = "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableRegistryTools" "1"
* HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ "1o.1.o8" = "C:\ WINDOWS\ 1o.1.o8.exe hcurun"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".bat" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".cmd" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".com" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".hta" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".js" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".JSE" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".msi" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".pif" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".reg" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".scr" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".VBE" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".vbs" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSF" = "exefile"
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSH" = "exefile"


Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.


источник:
symantec.com

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.