English
Deutsch
Français
Español
Italiano
Начальная страница
Информация о вирусах
Поиск
Начальная страница
Поддержка
Решения
Продукция
Файлы для загрузки
Информация о вирусах
Статистика
Phishing Worldmap
VDF История
Клиент
Загрузить файл
Новости безопасности
В список опасных вирусов
Компания
Пресса
Партнеры
Рассылка
TechBlog
Worm/TermX.A - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
Как бы Вы оценили эту информацию?
Бесполезная
Замечательно
Имя:
Worm/TermX.A
Обнаружен:
14/05/2007
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От низкого до среднего
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
186.166 байт.
Контрольная сумма MD5:
09b5dc62a921a88153cd34b08716b479
Версия VDF:
6.38.01.136
Версия IVDF:
6.38.01.142
Общее
Метод распространения:
• Messenger
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносного файл
• Изменение реестра
Файлы
Создается собственная копия:
•
%WINDIR%
\svhost32.exe
Попытка загрузки следующего файла:
– Следующий URL:
• http://bestwish.info**********
Данный файл запускается на выполнение после его полной загрузки. На момент проверки данная версия вредоносной программы была новой.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Task Manager"="
%WINDIR%
\svhost32.exe"
Добавляются следующие ключи реестра:
– [HKCU\Software\Google\GoogleToolbarNotifier]
• "KeepDS"=dword:00000000
• "ShowTrayIcon"=dword:00000000
– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
• "content url"="http://bestwish.info/**********"
– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
• "content url"="http://bestwish.info/**********"
Изменяются следующие ключи реестра:
Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Новое значение:
• "Search Page"="http://bestwish.info/**********"
• "Start Page"="http://bestwish.info/**********"
Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Новое значение:
• "DisableRegistryTools"=dword:00000001
• "DisableTaskMgr"=dword:00000001
Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Новое значение:
• "NoRun"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Новое значение:
• "DisableConfig"="1"
– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
Новое значение:
• "(Default)"="http://bestwish.info/**********"
– [HKCU\Software\Microsoft\Search Assistant]
Новое значение:
• "DefaultSearchURL"="http://bestwish.info/**********"
Messenger
Распространяется с помощью программы Messenger. Основные характеристики:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
– Windows Messenger
Кому:
Все записи из списка контактов.
Сообщение
Отправленное сообщение может иметь один из следующих видов:
• c’est ma carte de voeux de Noel que j’ai fait seulement pour toi http://bestwish.info/********** ^_^
• Microsoft donne 2007 copies gratuits de Windows Vista pour 2007 premieres inscriptions : http://bestwish.info/********** >:D< est envoyé par
%актуальное имя пользователя%
pas de virus
• vote pour notre Miss de beauté aujourd’hui :x " http://bestwish.info/********** :x:x:x:x:x est envoyé par
%актуальное имя пользователя%
pas de virus
• the only way to clean some online viruses that may lead you into troubles : http://bestwish.info/********** << est envoyé par
%актуальное имя пользователя%
pas de virus
• Joyeux Noel et Bonne année !!! http://bestwish.info/********** <<
• l’entrainneur de Chelsea est gravement blessé par Gallad http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• Attention!!! Il y aura un tremblement de terre ce soir : http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• J’ai fait 10 cadeaux pour les 10 premieres personnes qui commentent sur mon site web : http://bestwish.info/********** c0ol !!! est envoyé par
%актуальное имя пользователя%
pas de virus
• you are virus infected . Use this tool to remove viruses from your PC : http://bestwish.info/********** << est envoyé par
%актуальное имя пользователя%
pas de virus
• Enculé !!! http://bestwish.info/********** X-(
• Osama Bin Laden est arreté http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• Creer les bombs hyper forts avec Whisky, Coke et Mentos http://bestwish.info/********** est envoyé par
%актуальное имя пользователя%
pas de virus
• J'ai gagne au LOTO: http://bestwish.info/********** Viens feter chez moi !!!
Полученное сообщение может выглядеть следующим образом:
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Ernest Szocs Mon, 14 May 2007 14:38 (GMT+1)
Описание обновлено: Ernest Szocs Tue, 15 May 2007 12:43 (GMT+1)
»
О вредоносном ПО
»
О фишинге
»
В список опасных вирусов
« назад
Распечатать эту страницу
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Просто получать новости от Avira по ленте
Распознает и удаляет определенное вредоносное ПО и его варианты.
Загрузка здесь
Предупреждение о вирусах
- вставить в Ваш сайт
© 2009 Avira GmbH
Авторское право
|
Защита данных
|
Карта сайта
|
Обратная связь
|
О сайте
|
FAQ
|
Контакт
Информация о вирусах
Распечатать эту страницу
.gif)
