Служба вірусного моніторингу компанії «Доктор Веб» повідомляє про появу в мережі Інтернет та розповсюдженні декількох модифікацій мережевого черв'яка, який отримав назву Win32.HLLW.Gavir.
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
Сканує всі локальні і мережеві диски, ресурси загального доступу, шукає * .exe файли і заражає їх. Шукає в мережі активні машини і пробує підключиться до них як адміністратор з порожнім паролем або з правами поточного користувача. У разі успіху створює свою копію на цільовій машині і віддалено запускає її.
Створює на диску бібліотеку viDll.dll і впроваджує її в процес iexplore.exe або explorer.exe. C різних URL (в залежності від свого модифікації) закачує кілька варіантів програм, які визначаються антивірусом Dr.Web як Trojan.PWS.Lineage. Нагадаємо, що за класифікацією Dr.Web, префікс PWS позначає, що шкідлива програма призначена для крадіжки паролів. Тому в разі виявлення на комп'ютері таких троянських програм користувачам рекомендується змінити використовувані в системі паролі.
На заражених дисках створює файли _desktop.ini з датою останнього зараження, щоб повторно не шукати в директоріях файли для зараження в цей же день. При запуску інфікованих виконуваних файлів черв'як зцілює їх.
Уражені Win32.HLLW.Gavir виконувані файли коректно лікуються антивірусним сканером Dr.Web. Безпосередньо перед скануванням рекомендується відключити комп'ютер від локальної мережі та / або Інтернету. Ви також можете безкоштовно перевірити і вилікувати комп'ютер за допомогою утиліти Dr.Web CureIt !.
(Оцініть цю рублікацію)