Лабаратория касперского разработала данную утилиту для уничтожения вирусов семейства Trojan.Win32.KillAntiVir,так как антивирусы противобезсильны против данного вируса. Данный вирус в свою очередь блокируют запуск антивирусов в процессе explorer.exe,alg.exe(антивирусы работают в "демо режиме", то есть если вы даже где то получите вирус извесный вашей антивирусной программе,то он просто проигнорирует,и не "высветит" что это вирус...),то есть ЛЮБОЙ из вирусов спокойно сможет пролникнуть в вашу машину.
Информация о программе Год выпуска:2010 Платформа: *.exe Язык интерфейса: Русский Размер: 70мб Лекарство:Не требуется
Trojan.Win32.Agent.bcjv, он же Win32/Conficker.AA - описание и методы удаления
Червь, получивший название Conficker, пока распространяется преимущественно в корпоративных сетях, однако уже зафиксированы и сотни случаев заражения компьютеров рядовых пользователей Интернета. Червь, получивший название Conficker, пока распространяется преимущественно в корпоративных сетях, однако уже зафиксированы и сотни случаев заражения компьютеров рядовых пользователей Интернета. Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы. Вредоносная программа Conficker открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера — просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе. Trojan.Win32.Agent.bcjv, так его назвают в лаборатории Касперского, NOD32 называет его Win32/Conficker.AA, по версии BitDefender вирус зовут Win32.Worm.Downadup.Gen. Вирус использует дыру для которой заплатка лежит на сайте Microsoft и если вы еще не заразились, то срочно установите, чтобы предотвратить угрозу.
Win32Conficker.AA
Другие названия: Trojan.Win32.Agent.bbof (Kaspersky) W32.Downadup.B (Symantec) WW32/Conficker.worm.gen.a (McAfee) Тип проникновения Червь (Worm) Подверженные заражению платформы Microsoft Windows Описание Win32/Conficker.A – это червь, который распространяется через папки общего доступа и removable media (сменные носители). Он распространяется, эксплуатируя уязвимость в Server Service.
Инсталляция Во время исполнения вирус копирует себя в директории, используя следующее имя: %variable%.dll , Где %variable% произвольные символы. %system% %program files%\Internet Explorer %program files%\Movie Maker %appdata% %temp%
Библиотека %variable%.dll загружается и внедряется в следующие процессы: services.exe explorer.exe svchost.exe
Червь регистрируется в системе как системная служба, используя комбинации из следующих слов: Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support Syste m Task Time Universal Update
Чтобы загружаться при каждом запуске системы, вирус изменяет следующие ключи реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "%variable_name%" = "rundll32.exe "%system%\%variable%.dll", %random_string%"
Также создаются следующие ключи: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters] "ServiceDll" = "%system%\%variable%.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%] "Image Path" = "%System Root%\system32\svchost.exe -k netsvcs" "DisplayName" = "random service name%" "Type" = 32 "Start" = 2 "ErrorControl" = 0 "ObjectName" = "LocalSystem" "Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "TcpNumConnections" = 16777214 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets] "gip" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets] "gip" = 0A string with variable content is used instead of %random service name% .
