![]() |
про вирусы
что за вирь такой - Hidraq?
|
Ответ: про вирусы
Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Классические вирусы / Файловые и boot-вирусы
Virus.Win32.Hidrag.a Другие модификации: .b, .c, .d Другие названия Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset) Описание опубликовано 04 июн 2003 Поведение Virus, компьютерный вирус Технические детали Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла. При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services PowerManager = %WindowsDir%\SVCHOST.EXE Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:. Вирус никак не проявляет своего присутствия в системе. Вирус содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp. PowerManagerMutant __________________________________________________ ____ Остальные разновидности можешь посмотреть тут |
Ответ: про вирусы
червь, он же Jeefo. в начале пишет себя в svchost.exe (размером около 36 кб), пишет в реестр HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE (оригинальный svchost.exe дожен быть в папке system32), содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp.PowerManagerMutant - Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/ - по смещению 610h от начала файла. потом при каждой загрузке заражает все новые ехе начиная с диска С. при заражении файлов у них на время инфицирования снимается атрибут «только для чтения». также не изменяются время создания, записи и последнего доступа к файлу. не заражаются ехе файлы если: * файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher; * размер файла меньше 100 КБ; * тип пользовательского интерфейса — не GUI; * файл является защищённым (определяется посредством SfcIsFileProtected); * файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» на нужном месте). нормально бьется DrWeb и NOD32: 1 Удаляй ключ реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services] "PowerManager"="%WinDir%\svchost.exe" 2. Остановливай службу с именем PowerManager (Для этого может понадобится ProcessExplorer - продвинутый менеджер задач). 3. Удаляй файл svchost.exe в каталоге Windows (но не в Windows\system32! Может понадобится утилита Unlocker - чтобы снять блок с файла для удаления). 4. Проверяй весь компьютер антивирем, чтобы удалить копии вируса со всех заражённых exe. |
| Текущее время: 16:10. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2004 - 2026 NoWa.cc