Показано с 1 по 1 из 1.

W32.HLLP.Zomby.17920 (DrWeb)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    766

    W32.HLLP.Zomby.17920 (DrWeb)

    Эта зараза была найдена на пиратском загрузочном диске WinXP.
    Проверяйте новые диски сканерами .

    Aliases: W32/Kernl (Mcaffee), PE_ZOMBY.17920 (Trend) Win32.Zomby (AVP) Zomby (F-Prot)

    Mcaffee: http://vil.nai.com/vil/content/v_98994.htm
    ================================================== ========
    Virus Name ***Risk Assessment ***
    W32/Kernl Corporate User : ***Low ***
    ******Home User *** : ***Low

    Virus Information ***
    Discovery Date: ***01/10/2001 ***
    Origin: ***Unknown ***
    Length: ***17,920 ***
    Type: ***Virus ***
    SubType: ***Trojan ***
    Minimum DAT:***4116 (01/17/2001) ***
    Updated DAT:***4241 (01/08/2003) ***
    Minimum Engine: ***4.1.60 ***
    Description Added: ***01/25/2001 ***
    Description Modified: ***01/26/2001 9:36 AM (PT) ***

    Virus Characteristics: ***
    This is a PE file infector virus and backdoor trojan. When run, it copies itself to C:\WINDOWS\SYSTEM\KERNL32.EXE and creates the following registry key value to load the virus upon startup:

    HKLM\Software\Microsoft\Windows\CurrentVersion\
    Run\KRNL=Kernl32.exe

    The virus stays loaded in memory and every few minutes, it looks for all files that start with SETUP. When it finds a PE executable file that starts with the word SETUP and uses the .EXE extension it proceeds with writing its code to the front of the file.

    The backdoor trojan component of this virus allows the author to delete and create directories, and delete, create, read, write, and move files.

    In addition, this trojan gathers information such as free disk space, username, hostname, and remote access information, encrypts it, and sends it to one of 3 FTP sites as a .GIF file.

    Symptoms ***
    Increase in file size by 17,920 bytes. Presence of the file "C:\WINDOWS\SYSTEM\KERNL32.EXE". ***

    Method Of Infection ***
    The virus prepends SETUP*.EXE PE files with its code. ***

    Removal Instructions ***
    Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner such as:
    SCAN C: /CLEAN /ALL

    Variants ***
    Name ***Type ***Sub Type ***Differences ***

    Aliases ***
    Name ***
    PE_ZOMBY.17920 (Trend) ***
    Win32.Zomby (AVP) ***
    Zomby (F-Prot)
    ================================================== ========

    http://www.viruslist.ru/viruslist.html?id=4029
    ================================================== ========
    NewExe вирусы Вирусы для Win32 ***
    Win32.Zomby
    Резидентный Win32-вирус с возможностями троянских программ удаленного администрирования. Заражает PE EXE-файлы, при этом записывается в начало файлов, предварительно сдвинув вниз их первоначальное содержимое. Для того, чтобы вернуть управление зараженному файлу вирус "лечит" его и запускает на выполнение.
    При запуске зараженных файлов вирус выделяет свой "чистый код" и записывает его в системный каталог Windows под именем KERNL32.EXE. Затем вирус регистрирует этот файл в системном реестре в секции автозапуска программ:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run "KRNL"="Kernl32.exe"

    Вирус затем активизирует два процесса (threads) и остается резидентно в памяти Windows как скрытое приложение (сервис). Первый вирусный процесс лечит и запускает на выполнение файл-носитель, второй процесс ждет 30 минут, затем ищет PE EXE-файлы в подкаталогох всех дисков и заражает их.
    Backdoor-процедура является основной в коде вируса. Она открывает Internet-соединение, ждет команд "хозяина" и в зависимости от этих команд выполняет различные функции: высылает систеную информацию и пароли, принимает/отсылает указанные файлы, запускает программы на выполнение, создает/удаляет каталоги и т.п.
    Перед тем, как активизировать backdoor-процедуру вирус отсылает информацию о пораженном компьютере. Для этого вирус устанавливает соединение с одной из трех Web-страниц (см. ниже), затем во временный файл записывает имя компьютера и пользователя, данные RAS (Remote Access Service), список дисков на компьютере и прочее; затем шифрует этот файл и под видом GIF-картинки отсылает на Web-страницу. Адреса этих страниц выглядят следующим образом:

    Имя сервера Имя пользователя Пароль
    www.chat.ru zo01 zo01zz
    ftp.geocities.com zzo01 ivoryox17
    upload.digiweb.com zo01 zo01zz

    Вирус также содержит строки:
    ZOMBY1 v.1.08 05-24-99
    This program is only for educational purposes.
    The author takes no responsibility for anything
    anyone does with this program.
    ================================================== ========

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 06.04.2012, 03:31
  2. Ответов: 6
    Последнее сообщение: 19.08.2011, 15:34
  3. Ответов: 15
    Последнее сообщение: 18.06.2009, 15:42
  4. Ответов: 10
    Последнее сообщение: 22.02.2009, 08:12

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01408 seconds with 16 queries