Червь Dung.A
ОписаниеПризнаки
При старте создает следующие файлы:
* DC.EXE и SVIQ.EXE - в директории Windows (далее %windir%)
* OTHER.EXE - в поддиректории Help директории Windows
* FUN.EXE - в системной директории Windows (далее %sysdir%)
* WINSIT.EXE - в системной директории Windows
* WIN.EXE - в поддиректории config системной директории Windows
* XPEN.DAT - в системной директории Windows
В реестре создает следующие записи, обеспечивающие запуск червя при каждой загрузке Windows:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ Fun = %windir%\system\Fun.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc = %windir%\dc.exe
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ dc2k5 = %windir%\SVIQ.EXE
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ run = %sysdir%\config\Win.exe
Изменяет параметры загрузки оболочки Explorer.exe, дописывая ссылку на себя (также для автозагрузки):
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe, %sysdir%\Winsit.exe
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows \ load = %windir%\inf\Other.exe
Исполняемый файл имеет стандартную иконку папки.
Через Yahoo! Messenger рассылает себя в случае, если данный IM-клиент установлен на компьютере и запущен. Рассылает себя по списку контактов всем, кто находится в онлайне, сопровождая файл сообщением. Одно из сообщений: Olalala, may tinh cua ban da dinh Worm DungCoi
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все диски и рассылкой копий через Yahoo! Messenger.
Открывает произвольный порт, ожидает инструкций, в частности, на отправку данных о системе и загрузку дополнительных модулей с заданного URI.
источник: PandaSecurity.com