Червь Wow.SI
ОписаниеПризнаки
При запуске открывает окно "Проводника", отображающее содержимое корня диска C:.
Подавляет предупреждения антивирусов Касперского. Ищет окна с именами "AVP.AlertDialog" и "AVP.Product_Notification" и закрывает их. Также завершает ряд процессов, принадлежащих другим антивирусам и инструментам защиты.
Периодически загружает с веб-сайта обновления.
При запуске создает следующие файлы в системной директории Windows (далее %sysdir%):
* AVMO.EXE и AVPO.EXE - копии червя
* AVPO0.DLL - загружает файл с обновлением червя
* WINCAB.SYS - руткит
Первым трем файлам присваиваются атрибуты "системный" и "скрытый". Через реестр червь отключает отображение файлов таких типов в "Проводнике", что затрудняет их визуальное обнаружение:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000002
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ "" = 00000000
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL \ "" = 00000000
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ "" = 00000091
Через реестр обеспечивает себе автозагрузку при каждом старте системы:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\avpo.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ "" = %sysdir%\amvo.exe
Также создает следующую запись в реестре:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ CLSID\ MADOWN \ "" = maver8m9
Регистрирует для руткита два сервиса (XSWEDFTG и ZXSDERFBUKJFYSHLHFRST) с автоматическим запуском:
* HKEY_LOCAL_MACHINE\ Registry\ Machine\ System\ CurrentControlSet\ Services\ xswedftg
* HKEY_LOCAL_MACHINE \ Registry\ Machine\ System\ CurrentControlSet\ Services\ zxsderfbukjfyshlhdfrst
Распространяется копированием себя на все диски, подключенные к системе. В корне каждого диска создает файл autorun.inf, обеспечивающий запуск при каждом подключении диска к системе.
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Основное предназначение - хищение паролей к онлайн-играм (World of Warcraft, Lineage). Пытается завершить процессы, принадлежащие защитным приложениям. Использует руткит для сокрытия своего присутствия в системе. Распространяется копированием себя на все диски.
источник: PandaSecurity.com