Название по номенклатуре: P2p-worm.win32.vb.dg
Размер файла: 266240 байт
Инсталяция: Создает следующие файлы в системной папке Windows:
* kernel32.exe — работает как веб-сервер;
* killILLUMINATI.exe — копия основного файла червя;
* list.ini — содержит информацию, использующуюся в процессе саморазмножения;
* MSWINSCK.OCX — представляет собой модуль управления winsock для программ, написанных на Visual Basic. Файл нужен для корректной работы червя и не содержит вредоносных функций.
Также червь создает следующие файлы в корневом каталоге диска C:
* Message.txt — файл содержит текстовое сообщение;
* msn_addons.exe — еще одна копия основного файла червя.
Чтобы запускаться при старте операционной системы, червь добавляет ссылку на свой основной файл в ключ автозапуска системного реестра:
При первом запуске червь показывает фальшивое сообщение об ошибке: Read access error.
Распространение: Червь размножается через файлообменные сети и в виде рассылаемой на интернет-пейджеры сети MSN Messenger ссылки на основной исполняемый файл червя.
Размножение через P2P-сети
Червь проверяет наличие следующих папок:
C:\My Downloads
C:\My Shared Folder
C:\My Shared Folder
C:\Program Files\\bearshare\shared
C:\Program Files\\Edonkey2000\incoming
C:\program files\\kazaa\my shared folder
C:\Program Files\Edonkey2000\\incoming
C:\Program Files\Files\Kazaa Lite\My Shared Folder
C:\Program Files\Gnucleus\Downloads
C:\Program Files\ICQ\shared files
C:\Program Files\limewire\shared
C:\Program Files\Morpheus\My Shared Folder
C:\Program Files\overnet\incoming
C:\Program Files\Shareaza\Downloads
C:\Program Files\Tesla\Files
C:\Program Files\Warez P2P Client\My Shared Folder
C:\Program Files\winmx\shared
C:\Program Files\XoloX\Downloads
В случае обнаружения подобных папок, червь копирует себя в них под именами известных игр и прог.
Размножение через MSN Messenger
Червь размножается через сеть обмена сообщениями MSN в виде сообщения со ссылкой на основной файл червя. Основной файл находится на ранее зараженном червем компьютере.
Для определния IP-адреса зараженного компьютера червь соединяется со страницей на сайте www.showmyip.com (страница была перемещена, и в настоящее время червь уже не способен произвести этот шаг).
Затем червь ищет находящиеся в режиме онлайн MSN-контакты и отправляет им следующее сообщение:
please download this...its only small brb http:/[server]/msn_addons.exe
[server] подменяется IP-адресом зараженного компьютера. Поскольку страница была перемещена, то сейчас подобное сообщение выглядит следующим образом:
please download this...its only small brb
http:///msn_addons.exe
Сообщение отсылается несколько раз.
Действие на систему:
Червь пытается скрыть процесс killILLUMINATI.exe от программ листинга работающих процессов. Червь может изменить стартовую страницу Internet Explorer на одну из следующих:
Компонент kernel32.exe открывает порт TCP:80 и превращает компьютер в веб-сервер, что позволяет получателям сообщения MSN Messenger скачивать с зараженного компьютера файл червя. Также kernel32.exe производит DoS-атаку на сайт jamster.com.
В файле Message.txt в корневом каталоге диска C: содержится следующий текст:
Рекомендации по удалению:
1. Убедитесь, что ваш антивирус обладает новейшими антивирусными базами. Если ваша система заражена, и вы не можете открыть сайт производителя вашего антивируса, то удалите файл hosts в папке %sysdir%\drivers\etc и попробуйте еще раз.
2. Произведите полное сканирование всех дисков компьютера.
3. Пользователи Антивируса Касперского должны удалить все найденные файлы P2P-Worm.Win32.VB.dg и перезагрузить компьютер в случае необходимости.
Размер файла: 266240 байт
Инсталяция: Создает следующие файлы в системной папке Windows:
* kernel32.exe — работает как веб-сервер;
* killILLUMINATI.exe — копия основного файла червя;
* list.ini — содержит информацию, использующуюся в процессе саморазмножения;
* MSWINSCK.OCX — представляет собой модуль управления winsock для программ, написанных на Visual Basic. Файл нужен для корректной работы червя и не содержит вредоносных функций.
Также червь создает следующие файлы в корневом каталоге диска C:
* Message.txt — файл содержит текстовое сообщение;
* msn_addons.exe — еще одна копия основного файла червя.
Чтобы запускаться при старте операционной системы, червь добавляет ссылку на свой основной файл в ключ автозапуска системного реестра:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows32"="C:\%sysdir%\killILLUMINATI.exe"Распространение: Червь размножается через файлообменные сети и в виде рассылаемой на интернет-пейджеры сети MSN Messenger ссылки на основной исполняемый файл червя.
Размножение через P2P-сети
Червь проверяет наличие следующих папок:
C:\My Downloads
C:\My Shared Folder
C:\My Shared Folder
C:\Program Files\\bearshare\shared
C:\Program Files\\Edonkey2000\incoming
C:\program files\\kazaa\my shared folder
C:\Program Files\Edonkey2000\\incoming
C:\Program Files\Files\Kazaa Lite\My Shared Folder
C:\Program Files\Gnucleus\Downloads
C:\Program Files\ICQ\shared files
C:\Program Files\limewire\shared
C:\Program Files\Morpheus\My Shared Folder
C:\Program Files\overnet\incoming
C:\Program Files\Shareaza\Downloads
C:\Program Files\Tesla\Files
C:\Program Files\Warez P2P Client\My Shared Folder
C:\Program Files\winmx\shared
C:\Program Files\XoloX\Downloads
В случае обнаружения подобных папок, червь копирует себя в них под именами известных игр и прог.
Размножение через MSN Messenger
Червь размножается через сеть обмена сообщениями MSN в виде сообщения со ссылкой на основной файл червя. Основной файл находится на ранее зараженном червем компьютере.
Для определния IP-адреса зараженного компьютера червь соединяется со страницей на сайте www.showmyip.com (страница была перемещена, и в настоящее время червь уже не способен произвести этот шаг).
Затем червь ищет находящиеся в режиме онлайн MSN-контакты и отправляет им следующее сообщение:
please download this...its only small brb http:/[server]/msn_addons.exe
[server] подменяется IP-адресом зараженного компьютера. Поскольку страница была перемещена, то сейчас подобное сообщение выглядит следующим образом:
please download this...its only small brb
http:///msn_addons.exe
Сообщение отсылается несколько раз.
Действие на систему:
Червь пытается скрыть процесс killILLUMINATI.exe от программ листинга работающих процессов. Червь может изменить стартовую страницу Internet Explorer на одну из следующих:
Код:
http://911sharethetruth.com/extras/pentagon.swf
http://download.911sb.org/911.swf
http://download.911sb.org/911.swf
http://download.911sb.org/911.swf
http://www.911weknow.com/911.swf
http://www.pentagonstrike.co.uk/pentagon.swf
http://www.root.co.yu/pentagon/pentagon.swf
http://www.spycave.com/pentagon.swf
http://www.theundertow.tk/media/videos/_files/Pentagon.swf
www.hugequestions.com/911.swfКомпонент kernel32.exe открывает порт TCP:80 и превращает компьютер в веб-сервер, что позволяет получателям сообщения MSN Messenger скачивать с зараженного компьютера файл червя. Также kernel32.exe производит DoS-атаку на сайт jamster.com.
В файле Message.txt в корневом каталоге диска C: содержится следующий текст:
Рекомендации по удалению:
1. Убедитесь, что ваш антивирус обладает новейшими антивирусными базами. Если ваша система заражена, и вы не можете открыть сайт производителя вашего антивируса, то удалите файл hosts в папке %sysdir%\drivers\etc и попробуйте еще раз.
2. Произведите полное сканирование всех дисков компьютера.
3. Пользователи Антивируса Касперского должны удалить все найденные файлы P2P-Worm.Win32.VB.dg и перезагрузить компьютер в случае необходимости.