W32.Tufik.E

Новости

Тип:

Вирус Вирусы - автономные вредоносные модули, способные к размножению - внедрению себя в исполняемый код других программ. Вирусы могут как сохранять функциональность зараженной программы, так и перезаписывать её. Кроме исполняемых файлов, вирусы могут заражать загрузчики дисков и любой исполняемый код.

Операционная система:

Windows

Уровень:

низкий

Размер:

60.141 байт, 82.944 байта

Признаки

При запуске создает следующие файлы:

  • %System%\mscrss.exe
  • %System%\mscrss.dll
  • %System%\[случайные буквы].tmp
  • %Windir%\Temp\[случайные цифры].tmp
  • %Windir%\Temp\[случайные цифры].tmp_TMP.exe
  • %Temp%\[случайные цифры].tmp
  • %Temp%\[случайные цифры].tmp_TMP.exe

(Примечание: %System% - системная директория Windows. Например, для NT..Vista это обычно C:\Windows\System32)

Создает сервис “Windows Workstation”.

Создает в реестре следующие записи:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1498DA0-135E-46EA-B01B-86042A31ED82}
  • HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}
  • HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82} HKEY_CURRENT_USER\IEFalgObj.IEFalgObj
  • HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1 HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82
  • HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1498DA0-135E-46EA-B01B-86042A31ED82}

Ищет на всех дисках файлы:

  • .cgi
  • .php
  • .jsp
  • .asp
  • .html
  • .htm

Встраивает в них рамку:

Копирует себя на все диски:

  • \Config.Msi\mscrss.exe
  • \Config.Msi\[имя_первоначально_запущенного_файла]
  • \AutoRun.inf

Заражает все .exe - файлы на всех дисках.

Пытается загрузить файл с URL: [http://]ieopen.yhgames.com/iedown/down/upbh[удалено]

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Найти и остановить сервис, созданный вредоносной программой.
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Вирус-червь для платформы Windows. Заражает исполняемые файлы (.exe), копирует себя на все диски, которым присвоена буква, а также внедряет в html-файлы код обращения к вредоносному сайту.