Войти

Показать полную графическую версию : Описание вирусов


Страниц : 1 2 [3]

paulkorotoon
13-10-2009, 23:47
Переведите пожалуйста описание вируса »
Вот :) . Рекомендации переводить не стал, там просто общие советы. P.S. 100-процентной точности твердо гарантировать не могу :) ..
Обнаружен: 1 августа 2007
Известен как: Dung.A [Panda Software], W32/VB-DZE [Sophos], W32/VB-DGA [Sophos], WORM_SOHANAD.DR [Trend]
Тип: Червь
Размер кода: 57,344 байт
Заражению подвержены: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

При запуске червь создает следующие файлы:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe
%Windir%\SVIQ.EXE
%System%\NWB.dat
C:\PNga.txt

Затем прописывает в реестр (в автозапуск) ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe"

Также копирует себя на все съемные устройства и на каждый локальный диск, копия имеет такое же имя, как и папка, в которой лежит. Также копия вируса имеет иконка папки, что по идее должно сбить с толку пользователя и заставить его запустить вирус. Пример:
[буква диска]:\temp\temp.exe

Червь добавляет в файл %Windir%\wininit.ini, в раздел [rename], строку:
NUL=C:\ WINDOWS\Help\Other.exe

Вирус распространяется рассылкой сообщений всем онлайн-контактам Yahoo! Instant Messenger. Текст может быть в одном из следующих вариантов:
[http://]dungcoivb.googlepages.com/FUN[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi...........

Если было отправлено второе сообщение, - червь пытается переслать себя непосредственно контакту; в первом же случае - присылает ссылку на себя.

Nayan
14-10-2009, 07:45
Извините,но не открывает вашу ссылку,я с телефона сижу может поэтому.Этот вирус(fun.exe) может остановил какие службы необходимые для инета в win 2003? Мне важно знать какие службы нужны для инета.

paulkorotoon
14-10-2009, 10:44
Nayan, давай на ''ты'' только :) . Пост я отредачил свой, можно читать :) . Если вирус чего-то напортил, лучше создай тему в разделе лечения от вредноносных программ и выложи логи свои.

Nayan
14-10-2009, 13:16
давай добьем проблему тут же.
Получается этот вирус ничего не меняет в настройках сети и оборудования? начальство притащило свое оборудование - все заработало, всё и вся обвиняет меня в этом недуге((( вирус удален, никаких ключей описанных выше в реестре не наблюдается. короче все работало как работает окромя тырнета.

paulkorotoon
14-10-2009, 15:37
Nayan, существуют ведь десятки причин, по которым может не работать интернет :) . Как с ПО, так и с оборудованием. На случай, если проблему создал вирус, обратись в раздел лечения, вот (http://forum.oszone.net/thread-98169.html) рекомендации.

dimadr
16-08-2011, 09:09
http://www.f-secure.com/en_EMEA-Labs/virus-encyclopedia/encyclopedia/




© OSzone.net 2001-2012