Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:Worm/Yahos.ph
Обнаружен:02/02/2011
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:102.400 байт.
Контрольная сумма MD5:74D5BEF03B17C5B9BE3BE54C206D5605
Версия VDF:7.10.08.106
Версия IVDF:7.11.02.51 - среда, 2 февраля 2011 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: IM-Worm.Win32.Yahos.ph
   •  F-Secure: IM-Worm.Win32.Yahos.ph
   •  Sophos: Mal/Rimecud-D
   •  Norman: W32/Slenfbot.T


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файл
   • Снижает уровень настроек безопасности
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Открывает веб-сайт в веб-обозревателе

 Файлы Создается собственная копия:
   • %WINDIR%\nvsvc32.exe



Создается файл:

– Незараженный файл:
   • %WINDIR%\ntdll.dl




Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\net.exe


– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall add allowedprogram 1.exe 1 ENABLE


– Имя файла:
   • %SYSDIR%\ntvdm.exe
с помощью следующего параметра командной строки: -f -i1


– Имя файла:
   • %SYSDIR%\ntvdm.exe
с помощью следующего параметра командной строки: -f -i2


– Имя файла:
   • %SYSDIR%\sc.exe
с помощью следующего параметра командной строки: config wuauserv start= disabled


– Имя файла:
   • %SYSDIR%\sc.exe
с помощью следующего параметра командной строки: config MsMpSvc start= disabled


– Имя файла:
   • %WINDIR%\explorer.exe
с помощью следующего параметра командной строки: http://browseusers.myspace.com/Browse/Browse.aspx

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Ра
Описание добавил Alexander Bauer в(о) четверг, 3 февраля 2011 г.
Описание обновил Alexander Bauer в(о) четверг, 3 февраля 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.