Червь излечим
"Лаборатория
Касперского" объявила о появлении в
Сети опасного червя под названием Avron.
Червь распространяется через Интернет в
виде файлов, прикрепленных к зараженным
письмам. Также копирует себя на все
логические диски (включая сетевые).
Содержит троянскую процедуру, ворующую
пароли.
При инсталляции червь копирует себя в
системный каталог Windows со случайным именем
(например, dadd52doc.exе или ef23h672.exe) и
регистрирует этот файл в ключе авто-запуска
системного реестра (HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
ключ Mortimer = %имя файла червя%).
При рассылке зараженных писем червь
использует прямое подключение к SMTP-серверу.
Адреса, по которым происходит рассылка,
червь считывает из адресной книги Windows (WAB),
а также ищет адреса в файлах с
расширениями DBX, MBX. WAB, HTML, EML, HTM, ASP. SHTML.
Червь в своих письмах также случайно
использует брешь в системе защиты IFrame. При
рассылке червь создает временный файл
NewBoot.sys во временном каталоге Windows. Там же
создается файл listrecp.dll, в который
записываются все обнаруженные адреса
электронной почты.
Заражение сети. Червь копирует себя со
случайными именами в каталог RECYCLED на всех
доступных дисках. Если такого каталога нет,
червь копирует себя в корневой каталог
диска. Для автозапуска своей копии червь
дописывает команду в файл autoexec.bat на том же
диске.
Размножение червя с использованием ICQ и
IRC. Варианты червя "b" и "c" ищут
библиотеку ICQMapi.dll и пытаются послать свои
копии по номерам ICQ, содержащимся в списке
контактов ICQ. Они также создают файл script.ini
в директории mIRC, так, что их копии
рассылаются в каналы IRC, с которыми
соединяется пользователь зараженного
компьютера.
Размножение через Kazaa. Варианты Avron.b и
Avron.c создают свои копии в общедоступной
директории Kazaa со случайными именами.
Троянская процедура. Червь считывает
кешированные пароли и отправляет их на
адрес otto_psws@pochta.ws в письме с заголовком "Password
Got".
Также по 7-м и 24-м числам каждого месяца
червь запускает процедуру, которая
случайно перемещает курсор мыши и
открывает Web-страницу http://www.avril-lavigne.com.
Кроме этого, Avron постоянно следит за
антивирусными программами и
принудительно завершает их работу.
Червь Avron
в "Вирусной энциклопедии Касперского"
Бесплатная
утилита для удаления Avron
Источник: http://www.softkey.info/
|