Центр исследования компьютерной преступности

home контакты

Сетевой червь Win32.HLLW.Gavi заражает исполняемые файлы

Дата: 16.08.2006
Источник: CNews


virus/worms.jpg Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в сети интернет и распространении нескольких модификаций сетевого червя, получившего название Win32.HLLW.Gavir.

Сетевой червь работает под ОС: win9x/WinNT/2000/XP. Написан на Delphi. При запуске копирует себя в %WINDIR%\rundl132.exe. Для обеспечения своего запуска при каждой загрузке Windows прописывается в автозагрузку, модифицируя системный реестр.

Червь завершает процессы:EGHOST.EXE, MAILMON.EXE, KAVPFW.EXE, IPARMOR.EXE, Ravmond.EXE, RavMon.exe. Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключиться к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

Win32.HLLW.Gavir создаёт на диске библиотеку viDll.dll и внедряет ее в процесс iexplore.exe или explorer.exe. C разных URL (в зависимости от свой модификации) закачивает несколько вариантов программ, которые определяются антивирусом Dr.Web как Trojan.PWS.Lineage. Вредоносная программа предназначена для воровства паролей. Поэтому в случае обнаружения ее на компьютере пользователям рекомендуется сменить используемые в системе пароли.

На зараженных дисках новый вредоносный код создаёт файлы _desktop.ini с датой последнего заражения, чтобы повторно не искать в директориях файлы для заражения в этот же день. При запуске инфицированных исполняемых файлов червь исцеляет их.


Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.