Вредоносные программы → Компьютерный червь для Yahoo! Messenger
Недавно было сообщено, что через Yahoo! Messenger распространяется опасный червь, который проникнув в компьютер жертвы, рассылает сообщения по адресам из списка контактов. В частности, сообщение содержит веб-ссылку на якобы интересную фотографию, которая на самом деле является вирусом.
Вот последние ссылки, которые отправляет червь:
Во-первых, ни в коем случае не открыть эти адреса. А во-вторых, Вы должны предупреждать Вашего знакомого, что его компьютер заражён и, раз уж прочитали этот пост, Вы должны помочь ему избавиться от этого компьютерный червя.
При первом запуске, червь будет создать следующие файлы:
Для автоматического запуска при каждом следующем старте системы, компьютерный червь добавляет ключи системного реестра:
После запуска червь загружает разные файлы, которые находиться по адресу:
и попробует подключиться к один из следующих серверов:
Помимо этого, червь будет отключить «Автоматическое Обновление» и будет удалить системный файл %System%\drivers\etc\hosts.
Для того чтобы удалить этот компьютерный червь, можете использовать бесплатной утилитой от компании BitDefender — Anti-Worm.Palevo.Gen.
Вот последние ссылки, которые отправляет червь:
хттп://www.viptabor-space.com/image.php
хттп://photo-o5vip.com/image.php
хттп://www.facebook-style.com/image.php?=pic346436.JPG=
хттп://tinyurl.com/38bj2cp
хттп://82.114.87.46/a2re.jpg
хттп://hit-img.com/image.php
хттп://www.toplmages.com/image.php
хттп://msearch-lmages.com/image.php
хттп://save.infos-blog.net/photos/pic08052010-jpg.scr
хттп://jbillu.net/image/IMG08052010-JPG.scr
хттп://space4lamges.com/image.php
Во-первых, ни в коем случае не открыть эти адреса. А во-вторых, Вы должны предупреждать Вашего знакомого, что его компьютер заражён и, раз уж прочитали этот пост, Вы должны помочь ему избавиться от этого компьютерный червя.
При первом запуске, червь будет создать следующие файлы:
%Windir%\infocard.exe
%ProgramFiles%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\mdll.dll
%Windir%\wintybrd.jpg
%Windir%\winbrd.jpg
Для автоматического запуска при каждом следующем старте системы, компьютерный червь добавляет ключи системного реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
После запуска червь загружает разные файлы, которые находиться по адресу:
хттп://c1.ac-images.myspacecdn.com
хттп:// vidrushed.com
хттп://x.myspacecdn.com
хттп://js.myspacecdn.com
хттп://cache.fimservecdn.com
хттп://browseusers.myspace.com
и попробует подключиться к один из следующих серверов:
200.113.159.243:1234
204.0.5.40:80
204.0.5.42:80
204.0.5.43:80
204.0.5.50:80
208.71.123.131:80
216.178.38.168:80
63.135.80.58:80
63.135.86.21:80
63.135.86.25:80
64.210.61.208:80
Помимо этого, червь будет отключить «Автоматическое Обновление» и будет удалить системный файл %System%\drivers\etc\hosts.
Для того чтобы удалить этот компьютерный червь, можете использовать бесплатной утилитой от компании BitDefender — Anti-Worm.Palevo.Gen.