Virus.Win32.Alman.a
Podczas uruchamiania wirus wydobywa ze swojego cia艂a nast臋puj膮ce pliki:
%WinDir%AppPatchdeamon.dll – plik ten ma rozmiar 3 072 bajt贸w; %WinDir%c_126.nls - plik ten ma rozmiar 31744 bajt贸w.
Tworzy r贸wnie偶 nast臋puj膮cy klucz rejestru:
kt贸ry zawiera odsy艂acz do pliku wykonywalnego wirusa.
Wirus ten infekuje wszystkie pliki wykonywalne systemu Windows z dost臋pem umo偶liwiaj膮cym zapis (PE-EXE) na wszystkich dyskach na zaatakowanym komputerze oraz w dost臋pnych folderach sieciowych. Wirus nie infekuje plik贸w z nast臋puj膮cymi nazwami:
wooolcfg.exe woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe game.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neuz.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe
Wirus zapisuje sw贸j plik wykonywalny na pocz膮tek infekowanego pliku, przesuwaj膮c oryginaln膮 zawarto艣膰 pliku w d贸艂.
W celu zainfekowania plik贸w zlokalizowanych w folderach sieciowych wirus pr贸buje po艂膮czy膰 si臋 ze zdalnymi maszynami przy u偶yciu konta administratora oraz jednego z poni偶szych hase艂:
zxcv qazwsx qaz qwer !@#$%^&*() !@#$%^&*( !@#$%^&* !@#$%^& !@#$%^ !@#$% aasdf sdfgh !@#$ 654321 123456 12345 1234 123 111
Wirus wysy艂a r贸wnie偶 informacje na stron臋 zdalnego szkodliwego u偶ytkownika o ilo艣ci dost臋pnego miejsca na dysku C, wersji systemu operacyjnego oraz Internet Explorera na zaatakowanej maszynie oraz obecno艣ci nap臋d贸w w systemie, kt贸re maj膮 jedn膮 z poni偶szych nazw:
Hooksys KWatch3 KregEx KLPF NaiAvFilter1 NAVAP AVGNTMGR AvgTdi nod32drv PavProtect TMFilter BDFsDrv VETFDDNT
Informacja ta wysy艂ana jest w nast臋puj膮cym 偶膮daniu do strony zdalnego szkodliwego u偶ytkownika:
http://****mrw0rldwide.com/co.asp?action=post&HD=(ilo艣膰 wolnego miejsca) &OT=&IV=(wersja Internet Explorera) &AV=(zainstalowane sterowniki)
Wirus zdobywa r贸wnie偶 list臋 plik贸w do pobrania z nast臋puj膮cego odsy艂acza:
http://****mrw0rldwide.com/z.dat
Nast臋pnie szkodnik pobiera pliki z tej listy, zapisuje je w folderze tymczasowym systemu Windows i uruchamia jej w celu wykonania.
W momencie tworzenia tego opisu wirus pobiera艂 pliki z nast臋puj膮cych odsy艂aczy:
http://down****net/css.jpg http://down****net/wow.jpg
i zapisuje je w nast臋puj膮cy spos贸b:
%Temp%css.jpg - plik ten ma rozmiar 62 792 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
%Temp%wow.jpg - plik ten ma rozmiar 40 241 bajt贸w. B臋dzie wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia szkodliwego procesu.
- Usu艅 oryginalny plik wirusa (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy parametr z rejestru systemowego:
[HKCRCLSID{C111980D-B372-44b4-8095-1B6060E8C647}] - Usu艅 nast臋puj膮ce pliki:
%WinDir%AppPatchdeamon.dll %WinDir%c_126.nls %Temp%css.jpg %Temp%wow.jpg
- Usu艅 wszystkie kopie wirusa z dysku twardego:
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).