Virus.Win32.Alman.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.Win32.Alman.a Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE-EXE файл). Имеет размер 2 574 848 байт.

Инсталляция

Извлекает из своего тела файлы: 

%WinDir%\AppPatch\deamon.dll (3 072 байт)
%WinDir%\c_126.nls (31 744)

Создает ключ реестра: 

[HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]

который содержит ссылку на исполняемый файл вируса.

Деструктивная активность

Получает список файлов для закачки из интернет по следующей ссылке: 

http://soft.im*******ide.com/z.dat

после чего скачивает файлы из списка во временную папку и запускает их. На момент написания описания вирус скачивал файлы по следующим ссылкам: 

http://down*****.net/css.jpg
http://down*****.net/wow.jpg

и сохранял их соответственно: 

%Temp%\css.jpg (62 792 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.afd)
%Temp%\wow.jpg (40 241 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.sv)

Сообщает на сайт злоумышленников информацию о количестве свободного места на диске С, версию операционной системы и браузера Internet Explorer а так же о наличии в системе драйверов с одним из следующих имен: 

Hooksys
KWatch3
KregEx
KLPF
NaiAvFilter1
NAVAP
AVGNTMGR
AvgTdi
nod32drv
PavProtect
TMFilter
BDFsDrv
VETFDDNT

Данная информация отсылается в параметрах следующего запроса сайту злоумышленников: 

http://tj.imr*******de.com/co.asp?action=post&HD=<кол-во свободного места>&OT=<версия ос>&IV=<версия IE>&AV=<установленные драйвера>

Вирус заражает все исполняемые файлы Windows (PE-EXE) на всех дисках компьютера и доступных сетевых папках. Не заражаются файлы со следующими именами: 

wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
dk2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe

Для заражения файлов на сетевых папках, вирус пытается подключиться к удаленным компьютерам с учетной записью “Administrator” используя один из следующих паролей: 

zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
aasdf
sdfgh
!@#$
654321
123456
12345
1234
123
111

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить вирусный процесс.
  2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ реестра (как работать с реестром?):
    4. [HKCR\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}]
  4. Удалить файлы:
    5. %WinDir%\AppPatch\deamon.dll (3 072 байт)
%WinDir%\c_126.nls (31 744)
%Temp%\css.jpg
%Temp%\wow.jpg
  5. Удалить все копии вируса с жесткого диска
Источник — «http://www.totalmalwareinfo.com/rus/Virus.Win32.Alman.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.