Показано с 1 по 3 из 3.

Win32.HLLM.Netsky.35328 [Netsky.P]

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740

    Win32.HLLM.Netsky.35328 [Netsky.P]

    Win32.HLLM.Netsky.35328 [Netsky.P]
    Добавлен в вирусную базу Dr.Web 22 марта 2004 г. в 13:19:04 MSK - горячее дополнение
    Другие названия: I-Worm.Netsky.q, ZIP.Netsky.P, Win32/Netsky.P.Worm, W32/Netsky.P@mm, Win32.Netsky.P, W32/Netsky.p@MM, W32/Netsky.P.worm, W32/Netsky-P, WORM_NETSKY.P
    Тип: почтовый червь массовой рассылки
    Имена файлов, используемые вирусом: FVProtect.exe, userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp
    Уязвимые операционные системы: Windows 95/98/ME/NT/2000/XP
    Признаки инфицирования: наличие файлов FVProtect.exe, userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp в директории Windows
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "Norton Antivirus AV" = %WinDir%\FVProtect.exe

    Описание вируса:
    Win32.HLLM.Netsky.35328 [Netsky.P] - почтовый червь массовой рассылки. Поражает компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Размер исполняемого модуля червя в упакованном виде (FSG) - 29 568 байт.
    Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. В пораженном компьютере удаляет из системного реестра ключи, модифицируемые другими червями и троянскими программами.
    Способы распространения:
    Для проникновения в систему червь использует уязвимость, связанную с некорректной обработкой MIME заголовков , которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express (версии 5.01 и 5.5).
    ЗАО "ДиалогНаука" настоятельно рекомендует пользователям указанных программ установить у себя все обновления и патчи, публикуемые фирмой Microsoft!
    В случае, если установлены указанные патчи от Microsoft, инфицирование компьютера возможно только в случае сознательного запуска пользователем приложения с вирусным кодом.
    Червь сканирует диски компьютера с поисках почтовых адресов. Ревизии подвергаются файлы со следующими расширениями:
    .xml .wsh .jsp .msg .oft .sht .dbx .tbb .adb .dhtm .cgi .shtm .uin .rtf .vbs .doc .wab .asp .php .txt .eml .html .htm .pl

    Отправка не будет осуществляться по адресам, в которых содержатся следующие строки:

    reports@, spam@, noreply@, @viruslis, ntivir, @sophos, @freeav, @pandasof, @skynet, @messagel, abuse@, @fbi, @norton, @f-pro, @kaspersky, @mcafee, @norman, @bitdefender, @f-secur, @avp, @spam, @symantec, @antivi, @microsof


    Расширение вложения может быть .zip, .scr, .exe или .pif.

    Червь обладает способностью распространяться по файлообменным сетям. На дисках пораженного компьютера он осуществляет поиск директорий, в названиях которых присутствуют следующие строки

    shared files
    kazaa
    mule
    donkey
    morpheus
    lime
    bear
    icq
    shar
    upload
    http
    htdocs
    ftp
    download
    my shared folder

    и копирует себя в них в виде файлов со следующими названиями:

    The Sims 4 beta.exe
    Lightwave 9 Update.exe
    Ulead Keygen 2004.exe
    Smashing the stack full.rtf.exe
    Internet Explorer 9 setup.exe
    Opera 11.exe
    DivX 8.0 final.exe
    WinAmp 13 full.exe
    Cracks & Warez Archiv.exe
    Visual Studio Net Crack all.exe
    ACDSee 10.exe
    MS Service Pack 6.exe
    Clone DVD 6.exe
    Magix Video Deluxe 5 beta.exe
    Star Office 9.exe
    Partitionsmagic 10 beta.exe
    Gimp 1.8 Full with Key.exe
    Norton Antivirus 2005 beta.exe
    Windows 2000 Sourcecode.doc.exe
    Keygen 4 all new.exe
    3D Studio Max 6 3dsmax.exe
    1001 Sex and more.rtf.exe
    RFC compilation.doc.exe
    Dictionary English 2004 - France.doc.exe
    Win Longhorn re.exe
    WinXP eBook newest.doc.exe
    Learn Programming 2004.doc.exe
    How to hack new.doc.exe
    Doom 3 release 2.exe
    E-Book Archive2.rtf.exe
    netsky source code.scr
    Ahead Nero 8.exe
    Full album all.mp3.pif
    Screensaver2.scr
    Serials edition.txt.exe
    Microsoft Office 2003 Crack best.exe
    XXX hardcore pics.jpg.exe
    Dark Angels new.pif
    Porno Screensaver britney.scr
    Best Matrix Screensaver new.scr
    Adobe Photoshop 10 full.exe
    Adobe Premiere 10.exe
    Teen Porn 15.jpg.pif
    Microsoft WinXP Crack full.exe
    Adobe Photoshop 10 crack.exe
    Windows XP crack.exe
    Windows 2003 crack.exe
    Arnold Schwarzenegger.jpg.exe
    Saddam Hussein.jpg.exe
    Cloning.doc.exe
    American Idol.doc.exe
    Eminem Poster.jpg.exe
    Altkins Diet.doc.exe
    Eminem blowjob.jpg.exe
    Ringtones.doc.exe
    Eminem sex xxx.jpg.exe
    Ringtones.mp3.exe
    Eminem Spears porn.jpg.exe
    Eminem full album.mp3.exe
    Eminem Sexy archive.doc.exe
    Eminem Song text archive.doc.exe
    Britney Spears.mp3.exe
    Eminem.mp3.exe
    Britney Spears full album.mp3.exe
    Britney Spears Song text archive.doc.exe
    Matrix.mpg.exe
    Britney Spears and Eminem porn.jpg.exe
    Harry Potter 5.mpg.exe
    Britney Spears.jpg.exe
    Harry Potter game.exe
    Britney Spears fuck.jpg.exe
    Harry Potter.doc.exe
    Britney Spears cumshot.jpg.exe
    Harry Potter e book.doc.exe
    Britney Spears blowjob.jpg.exe
    Harry Potter 1-6 book.txt.exe
    Britney sex xxx.jpg.exe
    Harry Potter all e.book.doc.exe
    Britney Spears porn.jpg.exe
    Kazaa new.exe
    Britney Spears Sexy archive.doc.exe
    Kazaa Lite 4.0 new.exe


    Инфицирование системы:

    Будучи активированным, червь создает семафор '_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_' . Далее, он помещает в директорию Windows (в Windows 9x/ME/XP это C:\Windows, в Windows NT/2000 это C:\WINNT ) свою копию FVProtect.exe. Чтобы обеспечить автоматический запуск своей копии при каждой перезагрузке Windows червь вносит данные
    "Norton Antivirus AV" = %WinDir%\FVProtect.exe
    в реестровую запись
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

    В той же директории червь создает еще несколько файлов:
    userconfig9x.dll - зашифрованная копия червя, ее размер 26 624 байта
    base64.tmp - копия червя в кодировке base64, которую он рассылает по электронной почте
    zip1.tmp, zip2.tmp, zip3.tmp - заархивированные копии червя в кодировке base64
    zipped.tmp - временная копия червя в формате WinZip
    Червь производит следующие изменения в системном реестре:
    Удаляет данные
    Explorer
    msgsvr32
    winupd.exe
    direct.exe
    jijb
    DELETE ME
    Sentry
    system.
    service
    Taskmon
    Video
    Windows Services Host

    из реестровой записи
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
    Удаляет данные
    system.
    Video
    из реестровой записи
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\
    Удаляет данные
    Explorer
    gouday.exe
    rate.exe
    OLE
    d3dupdate.exe
    direct.exe
    winupd.exe
    au.exe
    Taskmon
    Windows Services Host
    sysmon.exe
    srate.exe
    ssate.exe
    из реестровой записи
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
    Удаляет следующие ключи и все данные в них
    HKLM\System\CurrentControlSet\Services\WksPatch
    HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    tolbaz
    Guest

    Re:Win32.HLLM.Netsky.35328 [Netsky.P]

    Как его правильно лечить? DrWeb его нашел но ничего с ним не сделал. Хотя другие вирусы он перемещал.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292

    Re:Win32.HLLM.Netsky.35328 [Netsky.P]

    В безопасном режиме при отключённом восстановлении системы.

Похожие темы

  1. Система заражена вирусом Win32.NetSky
    От Libra в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 09.12.2009, 15:18
  2. вирус I-Worm.NetSky.d
    От snowcatcher в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 01.10.2009, 17:32
  3. Email-Worm.Win32.NetSky.q Помогите замочить гада
    От EvilS в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 27.02.2007, 19:34
  4. Вирус, похоже Win32:Netsky-AF[WRM]
    От Roden в разделе Помогите!
    Ответов: 22
    Последнее сообщение: 09.02.2007, 11:45
  5. Удаление виpуса netsky
    От Geser в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 07.12.2004, 14:58

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01106 seconds with 16 queries