W32.Spybot.AVEN
Тип:
Червь 
Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
Операционная система:
Windows
Уровень:
низкий
Размер:
1.365.744 байта
Признаки
При запуске создает свою копию в системной директории Windows (далее %System) под названием winbot.exe.
Обеспечивает себе автозагрузку при каждом запуске системы. Для этого вносит в реестр следующие записи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”YahooServices” = “57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\”YahooServices” = “57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00″
Пытается подключиться к IRC-серверам irc.w33d561.com и server27.bounceme.net.
Пытается отключить процессы, принадлежащие антивирусам Norton, Microsoft и Kaspersky.
Может похищать с захваченного компьютера данные об учетной записи, пароли, серийный номер AIM (AOL Instant Messenger), ключ Windows, реквизиты доступа к AOL, ключи к HalfLife и Counterstrike.
Данная информация может быть получена атакующим при помощи IRC-команд.
ЗАЩИТА
- Отключить функцию “Восстановление системы” (для Windows ME и XP)
- Полностью проверить систему антивирусом с обновлённой базой сигнатур
- Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на внешние сетевые ресурсы, незащищенные паролем на запись, или защищенные слабым паролем. Крадет конфиденциальную информацию с захваченного компьютера, открывает в системе “черный ход”.