про вирусы

[Mutno]

что за вирь такой - Hidraq?

[Salamatin]

Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Классические вирусы / Файловые и boot-вирусы
Virus.Win32.Hidrag.a
Другие модификации: .b, .c, .d

Другие названия
Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»), Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee), W32.Jeefo (Symantec), Win32.HLLP.Jeefo.36352 (Doctor Web), W32/Jeefo-A (Sophos), Win32/HLLP.Jeefo (RAV), PE_JEEFO.A (Trend Micro), W32/Jeefo (H+BEDV), W32/Jeefo.A (FRISK), Win32:Jeefo (ALWIL), Win32/Hidrag.A (Grisoft), Win32.Jeefo.A (SOFTWIN), W32.Jeefo (ClamAV), W32/Jeefo (Panda), Win32/Jeefo.A (Eset)
Описание опубликовано 04 июн 2003
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
__________________________________________________ ____
Остальные разновидности можешь посмотреть тут

[Leons99]

червь, он же Jeefo. в начале пишет себя в svchost.exe (размером около 36 кб), пишет в реестр HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
PowerManager = %WindowsDir%\SVCHOST.EXE (оригинальный svchost.exe дожен быть в папке system32), содержит зашифрованные строки: Hidden Dragon virus. Born in a tropical swamp.PowerManagerMutant - Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/ - по смещению 610h от начала файла. потом при каждой загрузке заражает все новые ехе начиная с диска С. при заражении файлов у них на время инфицирования снимается атрибут «только для чтения». также не изменяются время создания, записи и последнего доступа к файлу.

не заражаются ехе файлы если:
* файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
* размер файла меньше 100 КБ;
* тип пользовательского интерфейса — не GUI;
* файл является защищённым (определяется посредством SfcIsFileProtected);
* файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» на нужном месте).
нормально бьется DrWeb и NOD32:
1 Удаляй ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"PowerManager"="%WinDir%\svchost.exe"

2. Остановливай службу с именем PowerManager (Для этого может понадобится ProcessExplorer - продвинутый менеджер задач).

3. Удаляй файл svchost.exe в каталоге Windows (но не в Windows\system32! Может понадобится утилита Unlocker - чтобы снять блок с файла для удаления).

4. Проверяй весь компьютер антивирем, чтобы удалить копии вируса со всех заражённых exe.