Сообщения
Признаки:
При первом запуске копирует себя в директорию Windows под именем svchost.exe.
Создаёт там же архив ZIP для последующей рассылки по электронной почте: screen.zip.
В процессе заражения исполняемых файлов создаёт временный файл Sys7154.tmp.
Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"svchost" = "%Windir%\svchost.exe"
Создаёт в реестре раздел, куда записывает дату захвата компьютера:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154\"GL" = "[ДАТА ЗАХВАТА]"
Рассылает себя по электронной почте.
Тема письма выбирается из следующих:
* No me olvido de ti
* te pongo adjunto u screen saver
* espero que te guste
* a mi me parecio cuando menos interesante
* saludos!!!!!!
Вложение называется screen.zip.
ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие:
Вирус-червь; распространяется посредством массовых рассылок своих копий по адресам электронной почты и заражает исполняемые файлы (EXE) на захваченном компьютере.
Открывает "чёрный ход" на порту 7154.
Безопасность в интернете, то что должен знать каждый человек у которого есть компьютер! Информация будет полезна для администраторов, занимающихся обеспечением безопасности сетей, для программистов, стремящихся к созданию защищенных приложений, а также для всех тех, кто интересуется вопросами сетевой защиты.
0 коментарии:
Оставить коментарий