Win32.HLLW.Gavir заражает исполняемые файлы и ворует пароли
HashFlare
 
Главная HI-TECH Форум Поиск Книги Авторам Новости партнёров Реклама
Новостей на сайте: 10263
Программы  
  Система
  Безопасность
  Интернет и сети
  Текст
  Графика и дизайн
  Мультимедиа
  Программирование
  Бизнес
  Образование
  Дом, семья, хобби
  Игры и развлечения
 
Рассылка
 
HashFlare
 
Рейтинг программ...    
    Ф2Мастер Банк (138316)
    Коллекция руссификаторов O-S (34783)
    Товар версия 1.10 (25294)
    Коллекция софта № 13 (24861)
    NetGraf 1.0 (23986)
    New_Profile v3.4 (400) (23923)
    Revolter Commander 3.9 beta 8 (16378)
    Коллекция софта № 14 (15730)
    Net Transport 2.22 (15390)
    Intel Sound MAX 4.0 Ac' 97 5.12.01 (15207)
 

[!] Знаете ли Вы, что каждый может добавить программу в наш каталог абсолютно бесплатно?


Новости IT-рынка HI-TECH
Win32.HLLW.Gavir заражает исполняемые файлы и ворует пароли

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в сети Интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

Техническая информация:
Сетевой червь. Работоспособен под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр:

В Win9x:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
load=rundl132.exe

В WinNT/2000/XP:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
load=rundl132.exe

Завершает процессы:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe

Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

Создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Напомним, что по классификации Dr.Web, префикс PWS обозначает, что вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения на компьютере таких троянских программ пользователям рекомендуется сменить используемые в системе пароли.

На зараженных дисках создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.

Поражённые Win32.HLLW.Gavir исполняемые файлы корректно лечатся антивирусным сканером Dr.Web. Непосредственно перед сканированием рекомендуется отключить компьютер от локальной сети и/или Интернета. Вы также можете бесплатно проверить и вылечить компьютер при помощи утилиты Dr.Web CureIt!.


Ссылки по теме:
Sony демонстрирует прототип 3D дисплея
Поставки готовых ПК за квартал выросли на 27%, подсчитали аналитики Gartner
Apple запатентовала виртуальную клавиатуру для iOS
Nokia готовит tablet на платформе MeeGo
Спортивный плеер Thanko никого не удивил



 
Статьи    
  Windows 10
  Windows 8
  Windows 7
  Windows Vista
  Windows XP/2003
  Windows NT/2000
  Безопасность
  Windows 9x/ME
  Hardware
  Software
  Интернет
  BIOS
  Сеть
  Разное
 
Рекомендуем
 
А из чего производятся жироуловители для кафе.
 
Рейтинг статей...    
    Предел входящих подключений в Windows (128683)
    Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP (69550)
    Из дома в офис - быстро, надежно и безопасно (55393)
    Всё, что надо начинающему хакеру (50404)
    Восстановление реестра Windows XP (23281)
    Второй сервис-пак для Windows XP: личный опыт (23152)
    Вызываем синий экран смерти Windows (18429)
    Настройка удаленного подключения между Windows 7 и Linux с помощью TightVNC (17427)
    Информация о proxy серверах (17281)
    Как устроена защита Windows Vista (17126)
 
 
Programmed by Ventura
 

 

Яндекс цитирования