From:Max Matveev2:5003/118
To:All
Date:01 Aug 05 08:13:10
Subj:Вирус!!!
MSGID: 2:5003/118 42edde7e
CHRS: IBMPC 2
TID: FastEcho 1.46 25003118
                  _*Querido amigo,*_ /_All_/ */!/*


Люди!!! Срочно нужна ваша помощь... Подскажите, чем можно уничтожить, удалить или вылечить сабдж под названием _Win32:LazyMin-B_??? Пытался пройти антивирусными программами, типа *avast*, *Nod32*, *Panda antivirus*...ничего не помогает... :-( Все его видят, но что либо делать с ним не хотят или не могут... :-( Вирус завелся на одной машине.

Вот что было вычитано на одном из форумов:

*_Virus.Win32.LazyMin.31_*

Другие названия
Virus.Win32.LazyMin.31 (<Лаборатория Касперского>) также известен как: Win32.LazyMin.31 (<Лаборатория Касперского>), BackDoor-UT (McAfee), W32.Lamin.B (dll) (Symantec), Win32.HLLW.LazyAdmin.31 (Doctor Web), W32/Lamin-B (Sophos), Win32/Lamin.A@mm (RAV), PE_LAMIN.B-1 (Trend Micro), W32/LazyMin.31.B (H+BEDV), Win32:Trojan-gen. (ALWIL), Win32.Lamin.A@mm (SOFTWIN), W32/LazyMin.A (Panda), Win32/LazyMin.B (Eset)

Поведение
Virus, компьютерный вирус

Технические детали

Полиморфный компьютерный вирус. После запуска остается резидентным в памяти. Представляет собой DLL-файл со случайным именем. Копирует себя в системный каталог MS Windows (%SYSTEM%).

Кроме вирусного функционала, содержит также функции клавиатурного шпиона (key logger) и сервера для неавторизованного доступа к ресурсам зараженного компьютера (backdoor), который использует протокол IRC. Таким образом, злоумышленник может легко получить доступ к ресурсам зараженного компьютера, а при помощи клавиатурного шпиона сможет получить информацию приватного характера (например пароли).

Каждые 5 минут, ищет запускаемые файлы для заражения на дисках A: - Z:. Заражает, дописывая свое тело в конец исполнимого файла.

После заражения, ждет подключения с серверов:

irc.arkhnet.com
irc.dal.net
irc.rtdptrx.es
powertech.no.eu.dal.net

Регистрирует в реестре ключи:

[HKEY_CLASSES_ROOT\CLSID\{52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D}\InProcServer32]
(Default)="%System%\имя_DLL_компоненты.dll"

[HKEY_LOCAL_MACHINE\Software\Microsoft\MSDN]
"IDT"
"PSBAHMBS"
"Fprt"
"KSE"
"EkeyID"

Hе заражает файлы, содержащие в имени строки:

NAVW32
RUNDLL32

Препятствует работе программ:

Regmon
Filemon

Содержит строки:

LazyAdmin-VX v3.1 by ArkhAdmin
[DLL] Release: 12:00 20.07.2003
-LazyUsхrs-

Удаляет файлы:

C:\avp_cure.bat
C:\Rar$DI01.903
__________________________________________________________________

*ЛЮДИ!!! ПОМОГИТЕ, А ТО ЭТА ВИРУСА МЕHЯ ПРОСТО ЗАБОДАЛА!!!*

    До встречи.
               Max.

... Отложение солей в сyставах? Hе гpyсти, похpyсти!
--- GoldED v1.1.1.4
* Origin: Повезло тебе, бедняжка... (2:5003/118)
SEEN-BY: 5003/5 6 17 34 38 47 52 53 57 76 81 82 83 84 86 87 98 117 118 132 133
SEEN-BY: 5003/134 135 138 151 180 5014/33
PATH: 5003/118 34 17




Оставьте свой отзыв