paulkorotoon
13-10-2009, 23:47
Переведите пожалуйста описание вируса »
Вот :) . Рекомендации переводить не стал, там просто общие советы. P.S. 100-процентной точности твердо гарантировать не могу :) ..
Обнаружен: 1 августа 2007
Известен как: Dung.A [Panda Software], W32/VB-DZE [Sophos], W32/VB-DGA [Sophos], WORM_SOHANAD.DR [Trend]
Тип: Червь
Размер кода: 57,344 байт
Заражению подвержены: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
При запуске червь создает следующие файлы:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe
%Windir%\SVIQ.EXE
%System%\NWB.dat
C:\PNga.txt
Затем прописывает в реестр (в автозапуск) ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe"
Также копирует себя на все съемные устройства и на каждый локальный диск, копия имеет такое же имя, как и папка, в которой лежит. Также копия вируса имеет иконка папки, что по идее должно сбить с толку пользователя и заставить его запустить вирус. Пример:
[буква диска]:\temp\temp.exe
Червь добавляет в файл %Windir%\wininit.ini, в раздел [rename], строку:
NUL=C:\ WINDOWS\Help\Other.exe
Вирус распространяется рассылкой сообщений всем онлайн-контактам Yahoo! Instant Messenger. Текст может быть в одном из следующих вариантов:
[http://]dungcoivb.googlepages.com/FUN[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi...........
Если было отправлено второе сообщение, - червь пытается переслать себя непосредственно контакту; в первом же случае - присылает ссылку на себя.
Вот :) . Рекомендации переводить не стал, там просто общие советы. P.S. 100-процентной точности твердо гарантировать не могу :) ..
Обнаружен: 1 августа 2007
Известен как: Dung.A [Panda Software], W32/VB-DZE [Sophos], W32/VB-DGA [Sophos], WORM_SOHANAD.DR [Trend]
Тип: Червь
Размер кода: 57,344 байт
Заражению подвержены: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
При запуске червь создает следующие файлы:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe
%Windir%\SVIQ.EXE
%System%\NWB.dat
C:\PNga.txt
Затем прописывает в реестр (в автозапуск) ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe"
Также копирует себя на все съемные устройства и на каждый локальный диск, копия имеет такое же имя, как и папка, в которой лежит. Также копия вируса имеет иконка папки, что по идее должно сбить с толку пользователя и заставить его запустить вирус. Пример:
[буква диска]:\temp\temp.exe
Червь добавляет в файл %Windir%\wininit.ini, в раздел [rename], строку:
NUL=C:\ WINDOWS\Help\Other.exe
Вирус распространяется рассылкой сообщений всем онлайн-контактам Yahoo! Instant Messenger. Текст может быть в одном из следующих вариантов:
[http://]dungcoivb.googlepages.com/FUN[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi...........
Если было отправлено второе сообщение, - червь пытается переслать себя непосредственно контакту; в первом же случае - присылает ссылку на себя.