Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:Worm/Yahos.lx
Обнаружен:26/01/2011
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:94.208 байт.
Контрольная сумма MD5:26B84DFB2F3ECBF5DFF168A593F512D9
Версия VDF:7.10.08.59
Версия IVDF:7.11.01.251 - среда, 26 января 2011 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: IM-Worm.Win32.Yahos.lx
   •  F-Secure: IM-Worm.Win32.Yahos.lx
   •  Eset: Win32/Yimfoca.AA worm
   •  DrWeb: Win32.HLLW.Oscar.14


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Открывает веб-сайт в веб-обозревателе

 Файлы Создается собственная копия:
   • %WINDIR%\nvsvc32.exe



Создаются следующие файлы:

– Незараженные файлы:
   • %WINDIR%\ndl.dl
   • %WINDIR%\wiybr.png
   • %WINDIR%\wibrf.jpg




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\net.exe


– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram 1.exe 1 ENABLE


– Имя файла:
   • %SYSDIR%\ntvdm.exe
с помощью следующего параметра командной строки: -f -i1


– Имя файла:
   • %SYSDIR%\ntvdm.exe
с помощью следующего параметра командной строки: -f -i2


– Имя файла:
   • %SYSDIR%\sc.exe
с помощью следующего параметра командной строки: config wuauserv start= disabled


– Имя файла:
   • %SYSDIR%\sc.exe
с помощью следующего параметра командной строки: sc config MsMpSvc start= disabled


– Имя файла:
   • %WINDIR%\explorer.exe
с помощью следующего параметра командной строки: http://browseusers.myspa**********.com/Browse/Browse.aspx

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\\nvsvc32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\\nvsvc32.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Ра
Описание добавил Alexander Bauer в(о) четверг, 27 января 2011 г.
Описание обновил Alexander Bauer в(о) четверг, 27 января 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.