НовостиПо типу лицензииЭнциклопедия вирусов- Новые вирусы (70)
Купить на AllSoftПрограммы защитыПо языку интерфейсаВходИнформацияПоискНавигацияНа сайтеНа данный момент на сайте 0 пользователей и 5 гостей .
Реклама в Яндекс.Директ, создание и продвижение сайтов. |
Win32/Zhelatin.AДругие модификации: o Червь, распространяющийся через интернет в виде вложений в электронные письма. Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты. Червь является приложением Windows EXE-файл. Размер зараженных файлов существенно варьируется. Упакован при помощи UPX. При инсталляции червь копирует себя с атрибутом скрытый (hidden) в системный каталог Windows с именем "alsys.exe": После этого червь создает следующие записи в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] Таким образом, при каждой следующей загрузке Windows автоматически запустит файл червя. Червь создает в своем рабочем каталоге файл с произвольным именем. (Троянская программа) Также червь создает следующие файлы в системном каталоге Windows: Файл wincom32.sys является руткит-библиотекой, загружается как драйвер службы и работает на уровне ядра. Программа предназначена для скрытия файлов червя на жестком диске и записей в системном реестре. Для определения своего присутствия в системе данной вредоносной программой создается уникальный идентификатор «klllekkdkkd». Червь изменяет следующие записи системного реестра с целью блокировки "Windows Firewall/Internet Connection Sharing (ICS)": [HKLM\System\CurrentControlSet\Services\SharedAccess] Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты. Действие Червь пытается выгрузить из системы различные процессы, содержащие в именах следующие строки: В случае обнаружения на зараженном компьютере файлов с расширениями .exe и .scr червь копирует себя в каталог, в котором был найден файл с произвольным именем с атрибутом скрытый (hidden): .t. После чего заражает найденный файл, добавляя в него свой код и изменяя точку входа таким образом, чтобы при запуске исполняемого файла сначала запускалась копия червя. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] Источник информации stopvirus.ru Отправить новый комментарий |