Сетевой червь «Win32.HLLW.Shadow.based является одним из самых опасных сетевых червей. Его отличительной особенностью является то, что он внедряется в операционную систему, используя различные способы, такие как съемные носители и сетевые диски при автозапуске «Windows», Вредноносный файл, который создается антивирусом, носит название RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. При этом вирус присваивает имя, которое имеет «Корзина» для удаленных файлов, что способствует его незаметности.
Второй способ распространения данного вируса по сети – это распространение в сети Интернет с применением протокола SMB. Вирус самостоятельно может подбирать различные значения пароля, используя удаленный доступ к компьютеру, и в случае подбора пароля копирует себя в системную папку, а затем, через некоторые интервалы времени дает задание на запуск.
Третий способ распространения данного вируса – это использование уязвимости. При отправлении червя на компьютер, переполняется буфер ПК. Таким образом, компьютер может производить загрузку вируса и по протоколу HTTP.
Сразу после того, как вирус Win32.HLLW.Shadow.based запускает себя, он осуществляет внедрение своего кода в системные процессы svchost.exe, а также explorer.exe. Созданием в проводнике папки, вирус завершает свою миссию. Кроме того, вирус может создать и собственную копию с случайным именем.
После прописывания своей копии в качестве службы «Windows», червь останавливает службу обновления «Windows». Далее вирус стремительно распространяется по всей сети.
Одной из самых больших проблем в удалении и лечении вируса является то, что Win32.HLLW.Shadow.based внедряет свой код в функции DNS на компьютере. Включая компьютер, пользователь замечает, что доступ к многим сайтам на компьютере блокируется.
Одной из главных задач данного вируса – это создание и структурирование бот – сети при помощи, которых данный вирус может устанавливать и запускать различные программы на компьютере пользователя. Многие киберпреступники целенаправленно разрабатывают бот – сети на продажу, что приносит им значительную прибыль.
Для лечения данного вируса необходимо установить патчи в информационных бюллетенях «Microsoft» MS08-067, MS08-068, MS09-001. Обязательно необходимо отсоединиться от сети Интернет. В том случае, если компьютеры находятся в локальной сети, то сначала нужно излечить ВСЕ компьютеры, которые находятся в локальной сети и потом подключать вылеченный компьютер к сети. После этого, необходимо воспользоваться надежной антивирусной программой (один из самых надежных антивирусов – это Kaspersky или NOD).
Для максимальной защиты от вируса Win32.HLLW.Shadow.based необходимо использовать антивирусные программы со встроенными антируткит – модулями, для того, чтобы излечивать максимальное количество фалов и веток реестра.
Чтобы удалить вирус Win32.HLLW.Shadow.based необходимо ОБЯЗАТЕЛЬНО загрузить ОС Windows в безопасном режиме, затем воспользоваться надежным антивирусом с антируткит модулями и применить действие «Лечить». После чего следует восстановить реестр из резервной копии.
ASROCK H170M-ITX/DL НА ДВУХСЛОЙНЫХ MOSFET-ТРАНЗИСТОРАХ Подробнее |
|
Консолидированная выручка "Яндекса" выросла на 18% Подробнее |