P2P-Worm.Win32.Niklas.b
Материал из Total Malware Info
P2P-Worm.Win32.Niklas.b Червь распространяющий себя через сети P2P. Является приложением Windows (PE-EXE файл). Имеет размер 15 360 байт. Упакован при помощи UPX, распакованный размер ~58 кбайт.
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\niklaus.exe %WinDir%\kamer.scr %WinDir%\Temp\Binary32\<случайная последовательность латинских букв>.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] nikLaus=”%WinDir%\niklaus.exe”
Деструктивная активность
Завершает следующие процессы: �
ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE F-AGNT95.EXE ESPWATCH.EXE ECENGINE.EXE DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE CFIAUDIT.EXE ESAFE.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE _AVPCC.EXE REGEDIT.EXE �
Из следующих ключей реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
Удаляет параметры с именами:
AVPCC AVPCC Service BlackIce Utility F-StopW McAfee Firewall McAfee Winguage McAfee.InstantUpdate.Monitor McAfeeVirusScanService McAfeeWebscanX McAgentExe McUpdateExe NAV Agent NAV Configuration Wizard NAV DefAlert NB Common Dialog Enhancements NB Start Menu NB Windows Patterns Norton Auto-Protect Norton eMail Protect Norton Navigator Loader Norton Program Scheduler Norton Program Scheduler Event Checker NPS Event Checker Panda Scheduler PP2000 Instaupdate PP2000 Real Time Scan PP2000 Taskbar Control SymTray - Norton SystemWorks Tiny Personal Firewall TrendMicro Antivirus TrueVector WinProxy ZoneAlarm ZoneAlarm Pro
Изменяет значения ключей реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=1 “NoDispCPL”=1 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=4
Заражает все файлы с расширением “.exe” на локальном диске “c:\”. При заражении червь записывает свое тело в начало заражаемого файла а оригинальное содержимое дописывает в конец файла после своего тела.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] nikLaus=”%WinDir%\niklaus.exe” [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=1 “NoDispCPL”=1 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=4
%WinDir%\niklaus.exe %WinDir%\kamer.scr %WinDir%\Temp\Binary32\<случайная последовательность латинских букв>.exe
