# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  BackDoor.Monsh (Drweb)

## stopka2top

BackDoor.Monsh (Drweb) или  W32.Xema.A (Symantec) ,
для KAV (officexp.exe, ~WR00001.doc, c_10810.nls, c_20462.nls, w1234.exe, windfire.exe - Trojan-Spy.Win32.Agent.qj, 
deskinf.pif - Backdoor.Win32.Agobot.h)
ОС windows xp sp2 pro
Файлы ( ~WR00001.doc, c_10810.nls, c_20462.nls,c_19460.nls,
w1234.exe,windfire.exe ) имеют одинаковый размер 118,1 килобайт и
упакованы UPX
(хотя может и остальные тоже)
 Полный список заражаемых  файлов(выявленный drweb)
Первый способ заражения: автозапуск со сменных носителей (вероятно
нужны права администратора )
"X:\autorun.inf" (иногда X:\autorun.inf_{сочетание букв и цифр})  Файл
ссылается
Извиняюсь что в авторские залез .... слабовато для них !
    на  X:\Recycled\deskinf.pif
"X:\Recycled\deskinf.pif"    Файл ссылается на X:\Recycled\~WR00001.doc

"X:\Recycled\~WR00001.doc"      
     Где X- любой сменный диск  
     Второй способ - автозагрузка
"С:\Documents and Settings\user\Рабочий стол\Автозагрузка\officexp.exe"
( короче папка автозагрузки
    на "Рабочем столе" у заражённого пользователя)
Остальные файлы вируса
"C:\Windows\system32\c_10810.nls"
"C:\Windows\system32\c_20462.nls"
"C:\Windows\system32\c_19460.nls"
"C:\Windows\system32\w1234.exe"
"C:\Windows\system32\windfire.exe"
"C:\Windows\system32\inter32.dll"
"C:\Windows\system32\shell64.dll"
"C:\Windows\system32\shlmon.exe"
Пролечился с CureIt (обязательно перезагрузитесь после первой проверки дисков и повторите её снова на системном диске)
Восстановление системы перед операцией нужно отлючить.
AVZ 4.27 на него уже реагирует.

Более официальное описание http://safe.cnews.ru/bugtrack/entry/...7/06/11/101200 ,но уменя была другая модификация.
+ "W32.Xema.A" на странице http://83.149.99.14/forums/index.php...0&#entry286986
Зря   в авторские залез  .... слабовато!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## anton_dr

> Зря в авторские залез .... слабовато!


Надо же с чего-то начинать.  :Smiley:  Следующие будут лучше.

----------

