Одной из самых опасных разновидностей вредноносных программ, которая доставляет множество неприятностей владельцам персональных компьютеров, является червь почтовой рассылки «Win32.HLLM.Beagle.12. Данный червь, как и многие другие разновидности червей, внедряется в операционку «Windows» 95/98/Me/NT/2000/XP. Сам червь содержится в письме и присоединяется к нему, как приложение ZIP файла общим размером 8 кб. Червь имеет вид PE EXE файла общим размером 10268 и способен внести различные значения в ключи реестра компьютера.
Червь может внести значительные изменения и создает свою автокопию при инициализации компьютера. Кроме этого, червь моментально изменяет значения в ключах реестра компьютера.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
“auto__hloader__key” = C:\WINDOWS\System32\hloader_exe.exe
Компьютеры заражаются данным червем через спам рассылку. Пока еще нет подтверждения о том, можно ли заразиться червем через почтовую рассылку и использование удаленных уязвимостей.
При заражении компьютера данный червь создает в подкаталоге %SystemRoot%\System32 файл с названием hloader_exe.exe с общим размером файла равным 19076 байт. После этого, в корневом каталоге «Windows» червь создает директорию exefld и сохраняет в этой директории различные модули.
Все эти модули копируются в созданную червем директорию и сохраняются под различными именами, такими как antiav_exe.exe и antiav_dll.dll
Червь блокирует большое количество программных модулей, а также затрудняет работу различных антивирусных программ и межсетевых экранов. Данный вирус целенаправленно удаляет различные программные модули, либо переименовывает их. Кроме того, компьютер останавливает и отключает различные службы, необходимые для работы резидентных фильтров. Осуществляется блокировка различных утилит «Windows» и утилит для просмотра процессов «Windows».
Чтобы восстановить систему после заражения червем необходимо загрузить «Windows» в безопасном режиме. Использовать надежную антивирусную программу (профессионалы советуют применять Kaspersky или NOD) и просканировать все диски на наличие вируса. Для найденных зараженных файлов применить действие «Лечить». ОБЯЗАТЕЛЬНО необходимо удалить все записи в реестре «Windows», которые имеют данный код. Профессионалы применяют msconfig.exe, либо аналогичные утилиты. После этого следует восстановить реестр из резервной копии.
ASROCK H170M-ITX/DL НА ДВУХСЛОЙНЫХ MOSFET-ТРАНЗИСТОРАХ Подробнее |
|
Консолидированная выручка "Яндекса" выросла на 18% Подробнее |