Компьютерный форум NoWa.cc

Компьютерный форум NoWa.cc (https://nowa.cc/index.php)
-   Архив (https://nowa.cc/forumdisplay.php?f=216)
-   -   про вирусы (https://nowa.cc/showthread.php?t=130869)

Mutno 02.12.2007 20:02

про вирусы
 
что за вирь такой - Hidraq?

Salamatin 02.12.2007 20:34

Ответ: про вирусы
 
Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Классические вирусы / Файловые и boot-вирусы
Virus.Win32.Hidrag.a
Другие модификации: .b, .c, .d

Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Описание опубликовано 04 июн 2003
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
__________________________________________________ ____
Остальные разновидности можешь посмотреть тут

Leons99 02.12.2007 20:48

Ответ: про вирусы
 
червь, он же Jeefo. в начале пишет себя в svchost.exe (размером около 36 кб), пишет в реестр HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE (оригинальный svchost.exe дожен быть в папке system32), содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp.PowerManagerMutant - Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/ - по смещению 610h от начала файла. потом при каждой загрузке заражает все новые ехе начиная с диска С. при заражении файлов у них на время инфицирования снимается атрибут «только для чтения». также не изменяются время создания, записи и последнего доступа к файлу.

не заражаются ехе файлы если:
* файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
* размер файла меньше 100 КБ;
* тип пользовательского интерфейса — не GUI;
* файл является защищённым (определяется посредством SfcIsFileProtected);
* файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» на нужном месте).
нормально бьется DrWeb и NOD32:
1 Удаляй ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"

2. Остановливай службу с именем PowerManager (Для этого может понадобится ProcessExplorer - продвинутый менеджер задач).

3. Удаляй файл svchost.exe в каталоге Windows (но не в Windows\system32! Может понадобится утилита Unlocker - чтобы снять блок с файла для удаления).

4. Проверяй весь компьютер антивирем, чтобы удалить копии вируса со всех заражённых exe.


Текущее время: 16:10. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2004 - 2026 NoWa.cc

Время генерации страницы 0.02017 секунды с 9 запросами