25.01.2009, 00:59
Cytat:
Niezle...
Ten wirus wg informacji ktore wyswietlal HIPS, zmienial rowniez DNSy, istnieje prawdopodobienstwo ze zmienia plik HOSTS w taki sposob aby strony z antywirusami/strony ze skanerami on-line byly zablokowane.
Nikesz co dokladnie zaczelo sie dziac u Ciebie po instalacji, wyswietlila sie ikonka w tray''u i co wiecej?
No w opisie na viruslist.com jest coś takiego:
Cytat: When launching, the worm injects its code into the address space of one of the “svchost.exe” system processes. This code is responsible for the worm’s malicious payload:
* Disables system restore
* Blocks addresses which contain the following strings:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Na polski:
Po uruchomieniu robak wstrzykuje swój kod w wolny adres jednego z systemowego procesu svchost.exe. Ten kod jest odpowiedzialny
za szkodliwe działanie robaka:
- wyłącza przywracanie systemu
- blokuje adresy zawierające następujące ciągi znaków:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
----------
Nie musi wcale zmieniać pliku HOSTS, robi to w pamięci, po cichu
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock