- 08.02Каждой отрасли – свой PROMT!PROMT представляет новую линейку специализированных отраслевых решений.
- 06.02Корпорация Symantec представляет данные отчета: "Применение виртуализации и облачных технологий"Европейские финансисты выходят вперед
- 03.02Новое поколение флагманских продуктов ESET бизнес-версии доступно для тестированияКомпания ESET объявляет о начале публичного тестирования новых флагманских продуктов для пользователей бизнес-версий
- 19.01Компания Red Hat выпустила обновление своего дистрибутива Red Hat Enterprise Linux 6.2Обзор технических характеристик и преимуществ
- 18.01Компания Rarlab обновила WinRAR до версии 4.10Компания Rarlab выпустила релиз 4.10 популярного архиватора WinRAR
Компания "Доктор Веб" информирует о вирусной опасности - Win32.HLLW.Gavir
Служба вирусного мониторинга компании "Доктор Веб" сообщает о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.
Техническая информация:
Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:
В Win9x:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
load=rundl132.exe
В WinNT/2000/XP:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows load=rundl132.exe
Завершает процессы:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.
Создаёт на диске библиотеку viDll.dll и внедряет ее в просесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.
На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.
Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web - CureIt!.
