Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Worm.Win32.Huhk.g

Worm.Win32.Huhk.g

Время детектирования	10 июн 2009 02:21 MSK
Время выпуска обновления	10 июн 2009 11:04 MSK
Описание опубликовано	27 окт 2009 16:27 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от размера зараженного файла. Написан на С++.

Инсталляция

После запуска вредонос находит файл:

%WinDir%\explorer.exe

и перемещает его в каталог временного хранения файлов с именем:

%Temp%\er.exe

Затем червь открывает файл:

%System%\dllcache\explorer.exe

сбрасывает все атрибуты файла, заражает его, восстанавливает прежние атрибуты и время создания, а затем копирует в каталог Windows с его оригинальным именем:

%WinDir%\explorer.exe

Размеры зараженного и оригинального файлов "explorer.exe" одинаковы.

Распространение

Далее, если запускается зараженный "explorer.exe" – вредонос создает 3 потока, в которых выполняет следующие деструктивные действия:

Устанавливает системный перехватчик API функции "CreateProcess()"в процессе "explorer.exe";

Устанавливает системный перехватчик API функции "Connect()", во все процессы, кроме процессов со следующими именами:

readbook.exe
qq.exe
icesword.exe
aspack.exe 
iris.exe
iexplore.exe
navapw32.exe
navapsvc.exe 
nmain.exe 
navw32.exe
kvfw.exe
kavsvcui.exe
kavpfw.exe
kav32.exe
kvxp.kvxp.kxp
kvsrvxp.exe
kvmonxp.kxp
kvwsc.exe 
kavsvc.exe
kwatchui.exe 
ravmond.exe
ravmon.exe
ravtimer.exe
rising.exe
rav.exe
ravmon.exe
ravtimer.exe
iparmor.exe
trojanhunter.exe
thguard.exe<
pfw.exe< 
eghost.exe 
mailmon.exe
firefox.exe

С 5 минутным интервалом, выполняет поиск съемных дисков от "Z:" до "D:", после чего рекурсивно ищет во всех каталогах файлы с расширением "exe" и в зависимости от кода данных исполняемых файлов, заражает их.
Выполняет поиск сетевых дисков и в случае обнаружения – создает новый сетевой диск, который является копией существующего, выполняет рекурсивный поиск "exe" файлов по всем каталогам и производит заражение. После этого, созданный червем сетевой диск, отключается.

Деструктивная активность

После срабатывания первого перехватчика, червь выполняет заражение запускаемого файла. Червь не заражает файлы с именами:

readbook.exe
qq.exe
icesword.exe
aspack.exe
iris.exe
iexplore.exe 
navapw32.exe 
navapsvc.exe 
nmain.exe
navw32.exe
kvfw.exe
kavsvcui.exe
kavpfw.exe
kav32.exe
kvxp.kvxp.kxp 
kvsrvxp.exe 
kvmonxp.kxp 
kvwsc.exe 
kavsvc.exe 
kwatchui.exe 
ravmond.exe 
ravmon.exe
ravtimer.exe 
rising.exe 
rav.exe 
ravmon.exe
ravtimer.exe
iparmor.exe 
trojanhunter.exe
thguard.exe
pfw.exe 
eghost.exe 
mailmon.exe
firefox.exe

Также, не заражает исполняемые файлы, которые находятся в каталогах "windows","winnt", "system", "system32", "dllcache".

После срабатывания второго перехватчика, червь пытается скачать по ссылке:

http://*****tatcounter.com/counter.php?sc_project=3034266&java=0&security=297102af&invisible=0

файл, который затем сохраняет в каталог временного хранения файлов текущего пользователя.

После успешной загрузки, вредонос запускает загруженный файл на выполнение. На момент создания описания ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить процесс "explorer.exe".
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
```
%WinDir%\explorer.exe
```
Переместить файл:
```
%Temp%\er.exe
```
в каталог Windows и переименовать его в:
```
%WinDir%\explorer.exe
```
Очистить каталог:
```
%Temp%\
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).

Другие названия

Worm.Win32.Huhk.g («Лаборатория Касперского») также известен как:

Virus: W32/Huhk.b (McAfee)
W32/Huhk-A (Sophos)
Virus:Win32/Huhk.7638 (MS(OneCare))
Win32.Scproj.7607 (DrWeb)
Win32/AutoRun.NAE virus (Nod32)
Win32/Huhk.C virus (Nod32)
Win32.Huhc.a (BitDef7)
Win32:PcClient-NM [Trj] (AVAST)
Virus.Win32.PcClient.NM (Ikarus)
Worm/Generic.UTH (AVG)
Win32.Rag.a (Rising)
Worm.Win32.Huhk.g [AVP] (FSecure)
PE_HUNK.CAR (TrendMicro)
Win32.Huhk.a (VirusBusterBeta)