Поведение
Net-Worm, интернет-червь.
Технические детали
Вирус-червь, самокопирующий себя на жесткий диск зараженного компьютера и на доступные для записи сетевые ресурсы. Является приложением Windows (PE EXE-файл). Размер компонентов червя варьируется в пределах от 26 до 129 КБ. Может быть упакован различными упаковщиками.
Инсталляция
При запуске червь копирует свой исполняемый файл в системный каталог Windows:
%System%driversspoclsv.exe
С целью автоматического запуска при последующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Svcshare" = "%System%driversspoclsv.exe"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Svcshare" = "%System%driversspoclsv.exe"
Деструктивная активность
Червь заражает файлы с расширениями «.exe», «.scr», «.pif», «.com» на всех фиксированных дисках — за исключением файлов в папках, имена которых содержат следующие строки:
WINDOWS,
Winnt,
Recycled,
Windows NT,
WindowsUpdate,
Windows Media Player,
Outlook Express,
Internet Explorer,
NetMeeting,
Common Files,
ComPlus Applications,
Messenger,
InstallShield Installation Information,
MSN,
Microsoft Frontpage,
Movie Maker,
MSN Gamin Zone.
Также не подвергаются инфицированию файлы, размер которых больше 10 млн. 485 тыс. 760 байт.
При заражении файлов червь записывает свой исполняемый файл впереди их оригинального содержимого.
Также вирус пытается заразить файлы, находящиеся в сетевых папках. Для этого он пытается подключиться к удаленным компьютерам в сетевом окружении, используя следующие имена параметры:
Имя пользователя,
Administrator,
Guest,
Admin,
Root,
Пароль,
1234,
password,
6969,
harley,
123456,
golf,
pussy,
mustang,
1111,
shadow,
1313,
fish,
5150,
7777,
qwerty,
baseball,
2112,
letmein,
12345678,
12345,
ccc,
admin,
5201314,
qq520,
1,
12,
123,
1234567,
123456789,
654321,
54321,
111,
000000,
abc,
pw,
11111111,
88888888,
pass,
passwd,
database,
abcd,
abc123,
sybase,
123qwe,
server,
computer,
520,
super,
123asd,
Ihavenopass,
godblessyou,
enable,
xp,
2002,
2003,
2600,
alpha,
110,
111111,
121212,
123123,
1234qwer,
123abc,
007,
a,
aaa,
patrick,
pat,
administrator,
root,
sex,
god,
foobar,
secret,
test,
test123,
temp,
temp123,
win,
pc,
asdf,
pwd,
qwer,
yxcv,
zxcv,
home,
xxx,
owner,
login,
Login,
pw123,
love,
mypc,
mypc123,
admin123,
mypass,
mypass123.
Червь копирует свой исполняемый файл в корневые каталоги всех съемных дисков под именем «setup.exe» и создает файл «autorun.inf», содержащий ссылку данный файл. Таким образом, при просмотре пользователем содержимого съемного диска при помощи «Проводника» Windows исполняемый файл червя запускается автоматически.
Также вирус останавливает и удаляет следующие службы:
Schedule,
Sharedaccess,
RsCCenter,
RsRavMon,
KVWSC,
KVSrvXP,
Kavsvc,
AVP,
Kavsvc,
McAfeeFramework,
McShield,
McTaskManager,
Navapsvc,
Wscsvc,
KPfwSvc,
SNDSrvc,
ccProxy,
ccEvtMgr,
ccSetMgr,
SPBBCSvc,
Symantec Core LC,
NPFMntor,
MskService,
FireSvc.
И удаляет параметры из ключа автозапуска системного реестра:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
RavTask
KvMonXP
Kav
KAVPersonal50
McAfeeUpdaterU
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
Yassistse
По следующей ссылке червь скачивает список файлов, предназначенных для загрузки из сети Интернет:
http://www.ac86.cn/****/mm.txt
Все скачанные файлы сохраняются в корневой каталог Windows («%WinDir%») и запускаются на исполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс червя (возможное имя процесса — «spoclsv.exe»).
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключей системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Svcshare" = "%System%driversspoclsv.exe"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Svcshare" = "%System%driversspoclsv.exe"
- Удалить файл:
%System%driversspoclsv.exe
- Удалить все копии червя на жестком диске.
- Удалить следующие файлы из корневых каталогов всех съемных дисков:
autorun.inf
setup.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|