Показано с 1 по 2 из 2.

Win32.HLLM.Gibe.2 [Swen]

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Win32.HLLM.Gibe.2 [Swen]

    Описание:

    http://antivir.ru/inf/virus.php?id=285&ref=virsrch

    Наименование вируса: Win32.HLLM.Gibe.2 [Swen]

    Добавлен в вирусную базу Dr.Web
    18 сентября 2003, 17:08 MSK, горячее дополнение к версии 4.30
    Другие названия:
    I-Worm.Swen, Win32.Swen.A, Win32/Swen.A.Worm, W32.Swen.A@mm,
    WORM_SWEN.A, W32/Gibe-F, W32/Gibe.E-mm
    Тип:
    почтовый червь массовой рассылки
    Уязвимые операционные системы:
    Windows 95/98/ME/NT/2000/XP, Windows 2003 Server
    Признаки инфицирования:
    - предложение установить патч от Microsoft
    - многочисленные сообщения об ошибках на экране дисплея
    - наличие в директории Windows нескольких файлов, создаваемых
    червем
    - наличие в директории файлообменой сети KaZaa созданной червем
    папки со случайным названием
    - невозможность работы с системным реестром
    Описание вируса:
    Win32.HLLM.Gibe.2 - почтовый червь массовой рассылки. Поражает
    компьютеры под управлением операционных систем Windows
    95/98/ME/NT/2000/XP, а также Windows Server 2003. Написан на
    языке программирования высокого уровня Visual C++. Размер
    программного модуля червя 106496 байт.
    Начало эпидемии червя Win32.HLLM.Gibe.2 - 18 сентября 2003
    года.
    Червь распространяется по электронной почте, используя
    собственную реализацию протокола SMTP, по файлообменной сети
    KaZaa и сети диалогового общения в Интернете IRC.
    Для запуска в системе червь использует давно известную
    уязвимость, связанную с некорректной обработкой MIME
    заголовков , которая позволяет вложенному в письмо
    программному файлу (с вирусом) автоматически запускаться при
    простом просмотре почты в таких клиентах, как MS Outlook и MS
    Outlook Express (версии 5.01 и 5.5).
    ЗАО "ДиалогНаука" настоятельно рекомендует пользователям
    указанных программ установить у себя все обновления и патчи,
    опубликованные на официальном сайте компании Microsoft!
    В случае, если указанный патч от Microsoft установлен на
    компьютере, инфицирование возможно только в случае
    сознательного запуска пользователем приложения с вирусным
    кодом.
    Способы распространения:
    Распространение по электронной почте
    Для осуществления рассылки по электронной почте червь
    использует собственную реализацию протокола SMTP. Адреса для
    рассылки червь получает из адресной книги Windows и файлов с
    расширениями .asp, .dbx, .eml, .ht*, .mbx .wab. Полученный
    адреса червь хранит в создаваемом им в директории Windows
    файле germs0.dbv.
    Червь генерирует несколько типов почтовых сообщений, используя
    различные темы сообщений и прилагаемые к ним тексты. Одним из
    них таких сообщений является письмо в формате HTML, якобы от
    имени корпорации Microsoft.
    Адрес отправителя: Microsoft Corporation Program Security
    Devision
    Адрес получателя: MS User (либо MS Corporation User)
    Тема сообщения: New Microsoft Patch ( либо Last Net Patch,
    либо Last Network Critical Pack)
    Текст сообщения, рассылаемого червем, выглядит как письмо,
    отправленное пользователю от имени компании Microsoft,
    предлагающее установить на его компьютере последний патч к MS
    Internet Explorer и MS Outlook Express, но на самом деле
    ТАКОВЫМ НЕ ЯВЛЯЮЩЕЕСЯ! Для придания сообщению убедительности,
    в нем использованы реально действующие ссылки на различный
    страницы сайта компании (Загрузить изображение).
    Наименования вложений к сообщениям, инфицированным червем
    Win32.HLLM.Gibe.2, генерируются из случайного набора символов
    с расширением .BAT, .COM, .EXE, .PIF или .SCR.
    Размер вложения: 106 496 байт.
    Распространение по системе диалогового общения в Интернете
    Internet Relay Chat
    Червь обладает способностью распространяться по сети IRC. Для
    этого на пораженном компьютере он осуществляет поиск
    директории \Mirc и помещает в нее собственный файл Script.ini,
    или вносит изменения в уже существующий в этой директории файл
    Script.ini, после чего червь становится доступным всем
    пользователям системы после осуществления соединения
    пораженного червем компьютера с сервером IRC в виде
    заархивированного локальным архиватором файла. Доступ к
    архиватору обеспечивается через ключ реестра
    HKEY_Local_Machine\Software\Microsoft\Windows
    CurrentVersion\App Paths
    Распространение по файлообменной сети KaZaa
    Для распространения по файлообменной сети KaZaa во временной
    директории Windows червь создает свою собственную папку со
    случайным названием, состоящим из набора символов и добавляет
    данные
    "Dir99" = 012345:путь к папке, создаваемой червем
    в ключ реестра
    HKEY_CURRENT_USER\Software\Kazaa\LocalContent
    Далее червь копирует себя в загрузочную директорию KaZaa и в
    созданную им папку в виде файлов с интригующими названиями, в
    частности, представляя себя в качестве утилит очистки от
    известных вирусов.
    Инфицирование системы:
    После своего запуска в системе, червь демонстрирует на экране
    дисплея несколько ложных сообщений, некоторые из которых якобы
    от имени компании Microsoft.



    Независимо от того, какую кнопку выберет пользователь, червь
    продолжит свою деятельность в системе, но при выборе кнопки
    "Да" пользователю будет показано следующее окно, якобы
    свидетельствующее об установке патча.

    По окончании "установки" пользователю будет выведено следующее
    окно:



    Еще одно диалоговое окно - MAPI32 Exception - демонстрируется
    червем, в котором пользователю предлагается заполнить
    пустующие поля с электронным адресом, именем пользователя и
    паролем, данными SMTP и POP3 серверов.
    Обращаем внимание пользователей на то, что вне зависимости
    от того, будут нажаты пользователем кнопки на
    вышеприведенных диалоговых окнах или нет, процесс установки
    вируса в систему будет продолжаться.

    В директорию Windows червь помещает свою копию - файл с
    названием, генерируемым червем из случайного набора символов и
    расширением .EXE.
    Например, abcdefgs.exe
    В ту же директорию червь помещает еще несколько файлов:
    - "название компьютера".bat - пакетный файл запускающий червя
    - "набор символов".расширение - в этом файле червь хранит путь
    к своим исполняемым модулям
    - swen1.dat представляет собой обычный текстовый файл, который
    содержит список удаленных новостных серверов с которыми
    червь будет пытаться установить соединение
    - в файле germs0.dbv червь хранит список почтовых адресов
    найденных им в инфицированном компьютере
    - еще одну свою копию червь помещает в создаваемую им
    директорию во временной директории Windows в виде файла с
    названием, аналогичным названиям, под которыми червь
    копирует себя в загрузочную директорию KaZaa.
    - "набор символов".zip - заархивированная копия червя.
    Для обеспечения своего автоматического запуска при каждом
    начале работы пользователя в Windows червь вносит изменения в
    следующую реестровую запись:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    "набор символов" = набор символов.EXE autorun
    Помимо этого, червь вносит изменения еще в несколько ключей
    системного реестра, обеспечивая таким образом, свой
    автоматический запуск при открытии любого файла с расширением
    .BAT, .COM, .EXE, .PIF, .REG, или .SCR:
    - HKCR\batfile\shell\open\command\(Default) = "набор
    символов.exe "%1" %*"
    - HKCR\comfile\shell\open\command\(Default) = "набор
    символов.exe "%1" %*"
    - HKCR\exefile\shell\open\command\(Default) = "набор
    символов.exe "%1" %*"
    - HKCR\piffile\shell\open\command\(Default) = "набор
    символов.exe "%1" %*"
    - HKCR\regfile\shell\open\command\(Default) = "набор
    символов.exe " showerror
    - HKCR\scrfile\shell\open\command\(Default) = "набор
    символов.exe "%1" /S"
    - HKCR\scrfile\shell\config\command\(Default) = "набор
    символов.exe "%1""
    Червь делает невозможным доступ к редактору системного
    реестра, внося изменения в ключ реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

    в результате чего при попытке пользователя открыть редактор
    на экране дисплея будет появляться сообщение
    Error occurred
    Memory access violation in module kernel32 at
    (последовательность цифр)
    Также червь вносит многочисленные изменения в ключ реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\explorer\

    - "CacheBox Outfit"="yes"
    - "Email Address"="почтовый адрес пользователя"
    - "Server"="IP - адрес SMTP сервера"
    - "Mirc Install Folder"="путь к директории MIRC"
    - "Installed"="...by Begbie"
    - "Install Item"="набор символов"
    - "Unfile"="набор символов"
    - "ZipName"="набор символов"
    Червь останавливает процессы ряда антивирусных программ и
    брандмауэров, в именах которых встречаются следующие строки:
    _avp, ackwin32, amserv, an, anti-troj, aplica32, apvxdwin, autodown,
    avconsol, ave32, avgcc32, avgctrl, avgw, avkserv, avnt, avp, avsched32,
    avwin95, avwupd32, blackd, blackice, bootwarn, ccapp, ccshtdwn, cfiadmi,
    cfiaudit, cfind, cfinet, claw95, dv95, ecengine, efinet32, esafe,
    espwatch, f-agnt95, f-prot, f-prot95, f-stopw, findviru, fp-win, fprot,
    fprot95, frw, gibe, iamapp, ibmasn, ibmavsp, icload95, icloadnt, icmon,
    icmoon, icssuppnt, icsupp, iface, iomon98, jedi, kpfw32, lockdown2000,
    lookout, lu32, luall, moolive, mpftray, msconfig, nai_vs_stat, nav,
    navapw32, navnt, navsched, navw, nisum, nmain, normist, nupdate, nupgrade,
    nvc95, outpost, padmin, pavcl, pavsched, pavw, pcciomon, pccmain, pccwin98,
    pcfwallicon, persfw, pop3trap, rav, regedit, rescue, safeweb, serv95, sphinx,
    sweep, tca, tds2, vcleaner, vcontrol, vet32, vet95, vet98, vettray, view,
    vscan, vsecomr, vshwin32, vsstat, webtrap, wfindv32, zapro, zonealarm

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Re:Win32.HLLM.Gibe.2 [Swen]

    Рекомендации по удалению:

    Windows 95/98 :
    1. Перезагрузить компьютер. В начале загрузки Windows нажать F8, в меню выбрать:
    "Command Prompt only."
    2. Выполнить следующие команды (нажимать Enter в конце каждой строки):
    cd\
    cd windows
    edit repair.reg
    Откроется окно редактора, ввести следующие строки:
    REGEDIT4

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    @="regedit.exe \%1\"

    Затем нажать Alt и F одновременно, затем X для выхода из редактора. На вопрос -
    сохранять ли файл - нажать Enter для подтверждения записи.

    3. Выполнить следующие команды (нажимать Enter в конце каждой строки):
    regedit /e backup.reg hkey_classes_root\exefile
    regedit /e backup2.reg hkey_classes_root\regfile
    regedit /d hkey_classes_root\exefile\shell\open\command
    regedit /d hkey_classes_root\regfile\shell\open\command
    regedit repair.reg

    Перезагрузить компьютер в безопасном режиме (нажать F8 в начале загрузки Windows,
    выбрать "Безопасный режим" - "Safe Mode").
    Проверить сканером все диски в режиме "по формату". Найденное выбирать "Лечить",
    неизлечимые удалять.


    Windows Me :
    1. Вставить загрузочный диск Windows Me, в bios выбрать загрузку с дискеты.
    Компьютер загрузится в DOS режиме.
    2. Выполнить следующие команды (нажимать Enter в конце каждой строки):
    cd\
    cd windows
    edit repair.reg
    Откроется окно редактора, ввести следующие строки:
    REGEDIT4

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    @="regedit.exe \%1\"

    Затем нажать Alt и F одновременно, затем X для выхода из редактора. На вопрос -
    сохранять ли файл - нажать Enter для подтверждения записи.

    3. Выполнить следующие команды (нажимать Enter в конце каждой строки):
    regedit /e backup.reg hkey_classes_root\exefile
    regedit /e backup2.reg hkey_classes_root\regfile
    regedit /d hkey_classes_root\exefile\shell\open\command
    regedit /d hkey_classes_root\regfile\shell\open\command
    regedit repair.reg

    Перезагрузить компьютер в безопасном режиме (нажать F8 в начале загрузки Windows,
    выбрать "Безопасный режим" - "Safe Mode").

    4. Отключить восстановление системы:
    Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories > Windows
    Explorer). Двойной клик на иконке "Система" (System).
    (Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели
    упpавления" "View all Control Panel options")
    Hа вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File
    System).
    Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
    "Запpетить восстановление системных файлов". ("Disable System Restore")
    Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.
    После лечения можно включить обратно восстановление системы.
    5. Проверить сканером все диски в режиме "по формату". Найденное выбирать "Лечить",
    неизлечимые удалять.

    Windows NT/2000/XP
    1. Перезагрузить компьютер в безопасный режим.
    2. Переименовать Explorer.exe в директории Windows в explorer.cmd
    3. Запустить двойным щелчком мыши этот explorer.cmd,
    Отключить восстановление системы:
    Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать
    "Свойства" (Properties).
    Вкладка "Восстановление системы" (System Restore). Поставить птичку на
    "Запpетить восстановление системных файлов на всех дисках" ("Turn off System
    Restore on all drives")
    Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех
    точек восстановления. Подтвеpдить, нажав "ОК".
    После лечения можно включить обратно восстановление системы.
    4. Переименовать drweb32.exe в drweb32.cmd, запустить его, проверить сканером все
    диски в режиме "по формату". Найденное выбирать "Лечить", неизлечимые удалять.

    Удобно также для удаления вируса и очистки реестра использовать спец. утилиту от Symantec:
    http://www.symantec.com/avcenter/FixSwen.exe
    Для запуска на зараженном компьютере необходимо переименовать ее в FixSwen.cmd.

Похожие темы

  1. Win32.hllm.Graz или Worm.Win32.Feebs
    От Ruslan в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 22.02.2009, 01:37
  2. Реинкарнация старого червя Worm.Gibe
    От Rene-gad в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 05.06.2008, 13:17
  3. Worm.Win32.Feebs (Win32.HLLM.Graz)
    От ScratchyClaws в разделе Вредоносные программы
    Ответов: 6
    Последнее сообщение: 25.09.2007, 16:06
  4. Win32.HLLM.Limar
    От wanna в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 24.10.2006, 21:34
  5. Описание Win32.HLLM.Beagle.38912 (Win32.Bagle.eh)
    От Alexey P. в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 09.11.2005, 06:51

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00470 seconds with 17 queries