DisaCKT.B

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

139.264 байта

Признаки

При старте создает следующие файлы:

  • Microsoft Office Word 2003.exe - в директорию меню “Пуск”
  • MY CV.EXE - в корне диска C:
  • MY CV.EXE - в директории, куда установлена Windows (далее %windir%)

Копирует себя на все диски, которым присвоена буква.

Создает в реестре запись, обеспечивающую автозапуск при каждом старте Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Mswinword = %windir%\My CV.exe

Отключает следующие функции системы:

  • Редактор реестра
  • Диспетчер задач
  • Пункт “Поиск” в меню “Пуск”
  • Пункт “Выполнить” в меню “Пуск”
  • Пункт “Свойства папки” в “Проводнике”

Для этого устанавливает в реестре следующие значения, соответственно:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 1
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableTaskMgr = 1
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFind = 1
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoRun = 1
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1

Обеспечивает себе автозапуск вместе с msconfig:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App Paths\ MSCONFIG.EXE \ Path = %windir%\My CV.exe

Запрещает запуск Редактора реестра, msconfig, Диспетчера задач, Microsoft Management Console,Group Policy Editor, командной консоли (cmd.exe). Для этого вносит в Реестр следующие записи:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 1 = Regedit.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 2 = MSConfig.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 3 = taskmgr.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 4 = MMC.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 5 = gpedit.msc
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun \ 6 = Cmd.exe

Написан на языке Visual Basic 6.0.

Техническое название от Panda Security - W32/DisaCKT.B.worm.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски, имеет встроенную иконку документа Word.

Легко распознается визуально: кнопка “ПУСК” (”START”) меню Windows заменяется на “NUM”, в меню “ПУСК” появляется пункт “Microsoft Office Word 2003.exe”.

Отключает ряд функций интерфейса Windows для усложнения своего обнаружения.