26 септември, 2007, 00:40 - Новини
От доста време не бях хващал вирус. Най-вероятно защото принципно си държа антивирусната на последнен ъпдейт, а и си познавам добре поведението на машинката. Преди малко както си браузвъх (за жалост не помня от къде браузвъх) на монитора ми се появи странно съобщение. Помислих си че е поредната елементарна за чистене гадинка. Стартирах пълен скан с AVG-то, нищо. Викам си ясно, нещо ново. Изключих си кабела на LAN-а, минах в Safe Mode, разкарах малко бози от msconfig, reboot и... ИЗНЕНАДА. Гадовете пак бяха тук. Ах тяхната ма*а, порових се малко да видя какво аджеба се стартира и що така, уж бях изключил всичко, да ама не беше се стартирала някаква глупост printer.exe Хайде пак във Safe Mode, намерих и изтрих гадинката (намира се в system32 папката) и все още не зацепвах от къде се стартира тази гадост. Реших че не може току така да не знам, цъкнах един regedit и почнах да ровя. И какво да видя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon ... някаква гадинка беша го сменила на Shell = "Explorer.exe %System%\printer.exe". Оправих го и реших да попитам google какво ще ми каже за http://www.google.com/search?hl=en& ... orer+shell първия резултат гласеше:
MicroWorld Technologies Inc. - Virus Information Page - 12:24am1) The latest virus vaccine update of eScan removes the worm from your system. Ensure that Internet access ... Shell = "Explorer.exe %System%\printer.exe" ...
www.mwti.net/virus_info/virusalertd.asp?vid=1019 - 56k
Викам си, това ще да е. Цъкам и се оказва, че това е въпросния вирус, който се казвал Win32.Renos.ie Сега въоражен с тази информация, отново налазих Google и бях шокиран от броя на резултатите... 16, шок и ужас. Разгледах ги и не научих много нови неща, само разбрах, че вируса е сравнително нов, на повечето места са го засекли към 23ти Септември 2007, но най-ранната информация за него е от 20ти Септември 2007. Верно нова гадинка, надявам се поне скоро антивирките да почнат да я ловят.
Ето ви и още малко информация за самия вирус:
Става дума за троянец, който се сваля от някой сайт.
Висуса се копира в:
* %Start Menu%\autorun.exe
* %Start Menu%\system.exe
* %System%\printer.exe
* %System%\WinAvXX.exe
Освен това прави следните записи в регистрите:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
WinAVX = "%System%\WinAvXX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
WinAVX = "%System%\WinAvXX.exe"
Променя:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %System%\printer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableRegistryTools = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Enable Browser Extensions = "yes"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer
NoControlPanel = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer
NoWindowsUpdate = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Bar = "http://www.google.com/ie"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Page = "http://www.google.com"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://www.google.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Search_URL = "http://www.google.com/ie"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Search Page = "http://www.google.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Start Page = "http://www.google.com"
Използвал съм материали от: http://www.mwti.net/virus_info/virusalertd.asp?vid=1019
| Ако този пост ти харесва можеш да го споделиш в: | |||
|
|||
Последни коментари
