Worm.Win32.Pinit.hk
Технические детали
Вредоносная
программа, обладающая способностью к несанкционированному пользователем
саморазмножению в компьютерных сетях через сетевые ресурсы. Способна
скачивать и запускать другие вредоносные программы.
Инсталляция
При запуске программа копирует свой исполняемый файл под произвольным именем в системную директорию:
%system%\<random>
<random> - произвольная последовательность символов.
Также программа извлекает из себя и копирует в системную директорию файл:
%system%\nvrsk.dll
который также является частью вредоносной программы.
Для автоматического запуска при каждом следующем старте системы программа модифицирует следующие системные файлы:
%system%\user32.dll
%system%\dllcache\user32.dll
А также добавляет ссылку на свою библиотеку (nvrsk.dll) в ключ системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Appiaft_Dlls"="nvrsk"
Деструктивная активность
Программа отправляет информацию о своем распространении на адрес
http://gpt***.ru/sok/gate/data.php
Далее обращается к странице http://gpt***.ru/sok/gate/r.php , на которой получает ссылку для скачивания файла, скачивает его на компьютера под именем index.exe и запускает на исполнение.
Также червь противодействует антивирусным программам, удаляя значения все ключей реестра, содержащих одну из следующих строчек:
mcafee
McAfee\VirusScan
drweb
Doctor Web, Ltd.
fprot
FRISK Software International
KasperskyLab
antivir
SYSTEM\ControlSet001\Services\avgntflt
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
AntiVir PersonalEdition Classic
avast
ALWIL Software\Avast
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClamAV
Ukranian Antivirus center
*\shellex\ContextMenuHandlers\NOD32 Context Menu Shell Extension
bitdef
SOFTWIN\BitDefender Desktop\Maintenance\Install
Vba32
symantec
Symantec\Symantec AntiVirus
panda
Panda Software
spy_adaware
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Aware SE Personal
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-aware 6 Personal
spy_spybot
PepiMK Software\SpybotSnD
spy_arovax
Arovax AntiSpyware
spy_avg
Grisoft\AVGAntiSpyware
spy_ppatrol
ComputerAssociates\eTrustPestPatrol
spy_mcafee
McAfee\McAfee AntiSpyware
spy_begone
Spyware Begone!
spy_doctor
Chilkat Software, Inc.
spy_blaster
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareBlaster_is1
spy_sweeper
AllFilesystemObjects\shellex\ContextMenuHandlers\SpySweeper
spy_msdef
SYSTEM\CurrentControlSet\Services\WinDefend
sf_vmware
VMware, Inc.
hp_vmtools
VMware, Inc.\VMware Tools
Распространение по сети
Вредоносная программа распространяется через общедоступные сетевые ресурсы, подбирая для них простые логины и пароли.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
При помощи Антивируса Касперского с обновленными антивирусными базами (
скачать пробную версию) пролечить системные библиотеки
%system%\user32.dll
%system%\dllcache\user32.dll - Удалить значение ключа
системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Appiaft_Dlls"="nvrsk"
- Удалить файл, созданный троянцем:
%system%\nvrsk.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
(скачать пробную версию).
Источник
| 
