Вредоносные программы → Worm: Win32/Taterf.B
Описание:
Worm:Win32/Taterf.B это вредоносная программа распространяющийся через логические диски, предназначенная для кражи пользовательской информации: логины и пароли к аккаунтам популярных онлайн-игр.
Червь Win32/Taterf.B, также известен как:
Тип вредоносной программы:
Червь-Троян
ОС подверженные заражению:
Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows 2000
Уровень опасности:
высокий
Технические детали:
Узнать если Ваш компьютер заражен, можно двумя способами:
Программа червя состоит из двух разных компонентов:
1. kamsoft.exe - активизирует червя и копирует файлы в системный фолдер, присваивая компонентам атрибуты "только для чтения" (read only), "скрытый" (hidden) и "системный" (system). Дальше, для того что при каждой загрузке компьютера запускался и троян, изменяет ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
добавляя строку %System%\kamsoft.exe со значением "kamsoft"
Затем, он внедряет в процессе "explorer.exe" второй компонент gasretyw .dll и пытается скопировать файлы m9ma.exe и autorun.inf в корень всех дисков от C:\ до Z:\.
А для того чтобы убедиться, что Автозапуск включён, может изменить следующий раздел реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавляя строку "NoDriveTypeAutoRun" со значением "00000091"
2. gasretyw .dll - деструктивный компонент, пытается остановить режим защиты в реальном времени антивирусных продуктов Kaspersky и Rising
Дальше, чтобы избежать обнаружения, добавляет следующие записи в реестре:
Крадет логины и пароли, путем "наблюдения" за системой, в частности, за следующими процессами:
Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра и файлы, созданные вредоносной программой
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
Worm:Win32/Taterf.B это вредоносная программа распространяющийся через логические диски, предназначенная для кражи пользовательской информации: логины и пароли к аккаунтам популярных онлайн-игр.
Червь Win32/Taterf.B, также известен как:
Win32/Frethog.CUM (CA)
W32/Lineage.KHE (Panda)
Mal/Frethog-B (Sophos)
Trojan-GameThief.Win32.Magania.ammv (Kaspersky)
Generic PWS.ak (McAfee)
Infostealer.Gampass (Symantec)
Тип вредоносной программы:
Червь-Троян
ОС подверженные заражению:
Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows 2000
Уровень опасности:
высокий
Технические детали:
Узнать если Ваш компьютер заражен, можно двумя способами:
1. Проверить наличие файлов:
%System%\kamsoft.exe
%System%\gasretyw.dll
2. Проверить, содержится ли в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
строку %System%\kamsoft.exe со значением kamsoft
где, %System% это системный каталог Windows, а- случайная цифра от 0 до 9
Программа червя состоит из двух разных компонентов:
1. kamsoft.exe - активизирует червя и копирует файлы в системный фолдер, присваивая компонентам атрибуты "только для чтения" (read only), "скрытый" (hidden) и "системный" (system). Дальше, для того что при каждой загрузке компьютера запускался и троян, изменяет ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
добавляя строку %System%\kamsoft.exe со значением "kamsoft"
Затем, он внедряет в процессе "explorer.exe" второй компонент gasretyw
А для того чтобы убедиться, что Автозапуск включён, может изменить следующий раздел реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавляя строку "NoDriveTypeAutoRun" со значением "00000091"
2. gasretyw
Дальше, чтобы избежать обнаружения, добавляет следующие записи в реестре:
1.
строка: "CheckedValue"
значение: "0"
ключ: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
2.
строка:"Hidden"
значение: "2"
ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
3.
строка: "ShowSuperHidden"
значение: "0"
ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Крадет логины и пароли, путем "наблюдения" за системой, в частности, за следующими процессами:
pol.exe
ageofconan.exe
coc.exe
knightonline.exe
lotroclient.exe
turbinelauncher.exe
Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра и файлы, созданные вредоносной программой
Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.