Полная новость
Скромный вирус
СКАЧАТЬ С СЕРВЕРА1. Выдаёт сообщение с ошибкой (999 раз подрят) в которой написан хозяин выря
2. переименовывает все на рабочем столе в "ХДДД"
3. переименовывает все в Мои документы в "XDDD"
4. раскидывает все файлы по всему компу, так чтоб ни чего не возможно было ни чего найти
5. рассылает вырь всем друзьям пораженного компьютера и в прицепе идёт цепная реакция
6. удаляет автозагрузку
7. удаляет Favorits
8. удаляет SendTo
9. удаляет пользователей (только на ХР)
10. удаляет Программы в пуске
11. удаляет Aplication Data
12. удаляет PrintHood
13. удаляет ShellNew
14. удаляет шрифты
15. удаляет NetHoot
16. удаляет Рабочий стол
17. удаляет Мои документы
18. уделяет Главное меню
19. Отключает клавиатуру (98,Me)
20. Сворачивает все окна при запуске
21. Отчищает меню Пуск
22. Отключает мышь (98,Ме)
23. Запускается каждый раз после перезагрузки
24. Меняет кнопки мыши
25. Вирус удаляет сам себя после активации а вся информация сохраняется ( в секретном месте ;) )
26. Отключает Ctrl+Alt+Del
27. Уничтожает локальные диски (все)
28. "Жгёт" реестр
2
Добавить комментарий
#
#
Последние темы
-
7Skype вирус Дата 11 мая, 2011 от MeW
-
8Новая глава в книге про бат Дата 12 мая, 2011 от MeW
-
9Магазиньчик открыт Дата 26 мая, 2011 от MeW
-
4Счетчики пользователей. Дата 25 апреля, 2011 от MeW
-
5Форум приведен в нормальный вид. Дата 25 апреля, 2011 от MeW
-
6Законодательство Дата 30 апреля, 2011 от MeW
-
3Безопасность. Дата 25 апреля, 2011 от MeW
-
2Новичкам. Дата 25 апреля, 2011 от MeW
-
1Пишеться книга на сайте про бат вирусы. Дата 25 апреля, 2011 от MeW
#
#
Ваши сообщения
-
На добовление ВАС в список проверенных пользователей пишите на форуме. Или в асю указанную в контактах.
РЕГИСТРАЦИЯ НА САЙТЕ -
Хакер - не приступник. Взлом - как исскуство. Смысл - в свободе.
Девиз хакеров ) -
Безопасность превыше всего. Не попадайтесь ;)
MeW, Admin
STin
Технические детали
Червь, распространяющийся через Интернет в виде вложений в электронные письма. Является VBS-скриптом. Имеет размер около 3 КБ.
Деструктивная активность
При запуске на экран выводится следующее сообщение:
Далее вирус копирует свой файл в системный каталог Windows:
c:\windows\System\Gigabyte.vbs
И добавляет ссылку на этот файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
Данный файл автоматически запускается при каждой последующей загрузке Windows.
Также червь создает следующие параметры в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SwapNT" = "rundll32 user32, SwapMouseButton"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Swap98" = "rundll32.exe user.exe, swapmousebutton"
Таким образом, при каждом новом старте операционной системы действия, назначенные на кнопки мыши, будут меняться местами.
Программа отключает мышь при следующей загрузке системы (только для Win9x):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Mad" = "rundll32 mouse,disable"
Затем червь выполняет команду, в результате которой действия от кнопок мыши немедленно меняются местами:
rundll32 user32, SwapMouseButton
Также червь изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer]
NoClose = 1
После этого вызов «Диспетчера Задач» Windows становится невозможным, а также блокируется возможность завершать работу системы.
Кроме того, червь переименовывает все файлы, находящиеся в папках «Мои документы» и «Главное меню\Программы», в файлы с именем, содержащим строку «Ты лох!!!» и произвольное число. Расширений данные файлы не имеют. Сами папки аналогично подвергаются переименованию — после того, как это происходит со всеми содержащимися в них файлами.
Вредоносная программа пытается удалить специальные папки Windows: «Рабочий стол», «Главное меню», «Избранное», «Мои документы».
Червь выводит на экран в бесконечном цикле следующее сообщение:
Действия, выполняемые данной программой, приводят к сбоям в работе операционной системы.
Распространение через e-mail
Используя OLE-объект Microsoft Outlook («Outlook.Application»), вирус рассылает свое тело посредством вложений в e-mail по всем адресам в адресной книге данной почтовой программы.
Характеристики зараженных писем
Тема письма
Встречаются следующие варианты:
* Новое_Название
* Программа
* Kaspersky Lab
* Very Gooooood Day
* Привет!
Текст письма
Возможные варианты:
* Новое_Название
* Нажимай
* Здравствуйте, не обнаружено вредоносного кода в файле kasperofsky.zip
* If your Windows is not O.K, save this file an then lunch, and then you Windows will be all right. And you too
* Лови мою фотку!
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить исходный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:
c:\windows\System\Gigabyte.vbs
3. Удалить параметры в ключах реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SwapNT" = "rundll32 user32, SwapMouseButton"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Swap98" = "rundll32.exe user.exe, swapmousebutton"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Mad" = "rundll32 mouse,disable"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer]
NoClose = 1
STin
Ответственности за вирус атор не несет, вырь выложен в качестве экспоната и просто для публичного осмотра ^^