Virus.Win32.Ipamor.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.Win32.Ipamor.a Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 65536 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\MSWDM.EXE

Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WDM”=”MSWDM.EXE”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“WDM”=”MSWDM.EXE”

Деструктивная активность

Заражает все файлы с расширением .exe на всех жестких дисках. При заражении тело вируса записывается в начало заражаемого исполняемого файла, а оригинальное содержимое сдвигается в конец файла. При запуске зараженного файла вирус извлекает оригинальное содержимое в файл: 

%WinDir%\dev<rnd>.tmp

где, rnd – случайное двухзначное число и запускает. При полном заражении какого-либо раздела жесткого диска вирус создает в корневой папке файл с именем sys.try. Завершает процессы, содержащие следующие строки в именах: 

MSWDM.EXE
FIREWALL
NORTON
255.255.255.255
TROJAN
IPARMOR
IEXPLORE.EXE
NETEYES.EXE
MSDEV.EXE

Открывает на компьютере пользователя 139-й UDP порт и ждет поступления данных. Принимаемые данные сохраняются в файл: 

%WinDir%\system\kernel32.exe

И запускаются на выполнение вирусом.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WDM”=”MSWDM.EXE”

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
“WDM”=”MSWDM.EXE”
  4. Удалить файлы:
    5. %WinDir%\MSWDM.EXE
%WinDir%\system\kernel32.exe
  5. Удалить все копии вируса на жестком диске.
Источник — «http://www.totalmalwareinfo.com/rus/Virus.Win32.Ipamor.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.