Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Worm.Win32.Huhk.g

Главная / Описания / Worm.Win32.Huhk.g

Печать		 Bookmark and Share
Закладки
Время детектирования 25 сен 2009 19:30 MSK
Время выпуска обновления 26 сен 2009 00:22 MSK
Описание опубликовано 27 окт 2009 16:27 MSK
Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от размера зараженного файла. Написан на С++.

Инсталляция

После запуска вредонос находит файл:

%WinDir%\explorer.exe
и перемещает его в каталог временного хранения файлов с именем: 
%Temp%\er.exe
Затем червь открывает файл:
%System%\dllcache\explorer.exe
сбрасывает все атрибуты файла, заражает его, восстанавливает прежние атрибуты и время создания, а затем копирует в каталог Windows с его оригинальным именем:
%WinDir%\explorer.exe
Размеры зараженного и оригинального файлов "explorer.exe" одинаковы.

Распространение

Далее, если запускается зараженный "explorer.exe" – вредонос создает 3 потока, в которых выполняет следующие деструктивные действия:

  • Устанавливает системный перехватчик API функции "CreateProcess()"в процессе "explorer.exe";
  • Устанавливает системный перехватчик API функции "Connect()", во все процессы, кроме процессов со следующими именами: 
    readbook.exe
qq.exe
icesword.exe
aspack.exe 
iris.exe
iexplore.exe
navapw32.exe
navapsvc.exe 
nmain.exe 
navw32.exe
kvfw.exe
kavsvcui.exe
kavpfw.exe
kav32.exe
kvxp.kvxp.kxp
kvsrvxp.exe
kvmonxp.kxp
kvwsc.exe 
kavsvc.exe
kwatchui.exe 
ravmond.exe
ravmon.exe
ravtimer.exe
rising.exe
rav.exe
ravmon.exe
ravtimer.exe
iparmor.exe
trojanhunter.exe
thguard.exe<
pfw.exe< 
eghost.exe 
mailmon.exe
firefox.exe
  • С 5 минутным интервалом, выполняет поиск съемных дисков от "Z:" до "D:", после чего рекурсивно ищет во всех каталогах файлы с расширением "exe" и в зависимости от кода данных исполняемых файлов, заражает их.
  • Выполняет поиск сетевых дисков и в случае обнаружения – создает новый сетевой диск, который является копией существующего, выполняет рекурсивный поиск "exe" файлов по всем каталогам и производит заражение. После этого, созданный червем сетевой диск, отключается.

Деструктивная активность

После срабатывания первого перехватчика, червь выполняет заражение запускаемого файла. Червь не заражает файлы с именами: 

readbook.exe
qq.exe
icesword.exe
aspack.exe
iris.exe
iexplore.exe 
navapw32.exe 
navapsvc.exe 
nmain.exe
navw32.exe
kvfw.exe
kavsvcui.exe
kavpfw.exe
kav32.exe
kvxp.kvxp.kxp 
kvsrvxp.exe 
kvmonxp.kxp 
kvwsc.exe 
kavsvc.exe 
kwatchui.exe 
ravmond.exe 
ravmon.exe
ravtimer.exe 
rising.exe 
rav.exe 
ravmon.exe
ravtimer.exe
iparmor.exe 
trojanhunter.exe
thguard.exe
pfw.exe 
eghost.exe 
mailmon.exe
firefox.exe

Также, не заражает исполняемые файлы, которые находятся в каталогах "windows","winnt", "system", "system32", "dllcache".

После срабатывания второго перехватчика, червь пытается скачать по ссылке:

http://*****tatcounter.com/counter.php?sc_project=3034266&java=0&security=297102af&invisible=0
файл, который затем сохраняет в каталог временного хранения файлов текущего пользователя.

После успешной загрузки, вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ( "Диспетчера задач") завершить процесс "explorer.exe".
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файл: 
    %WinDir%\explorer.exe
  4. Переместить файл: 
    %Temp%\er.exe
    в каталог Windows и переименовать его в: 
    %WinDir%\explorer.exe
  5. Очистить каталог: 
    %Temp%\
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Вредоносные программы
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).

Другие названия

Worm.Win32.Huhk.g («Лаборатория Касперского») также известен как:

  • Trojan: Generic.dx (McAfee)
  • W32/Huhk-A (Sophos)
  • Generic Malware (Panda)
  • Virus:Win32/Huhk.7638 (MS(OneCare))
  • Win32.Scproj.7607 (DrWeb)
  • Win32/Huhk.C virus (Nod32)
  • Win32.Huhc.a (BitDef7)
  • Win32.Huhk.a (VirusBuster)
  • Win32:Huhk-D [Wrm] (AVAST)
  • Virus.Win32.PcClient.NM (Ikarus)
  • Worm/Generic.XPP (AVG)
  • W32/Huhk.C (AVIRA)
  • W32.Huhk.A (NAV)
  • W32/Huhk.a (Norman)
  • Win32.Rag.a (Rising)
  • Worm.Win32.Huhk.g [AVP] (FSecure)
  • TROJ_Gen.CZ0149 (TrendMicro)
  • Worm.Win32.Huhk.c (v) (Sunbelt)
  • Win32.Huhk.a (VirusBusterBeta)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей