Год выпуска: 2009
Версия: 5.00.1.01290
Разработчик: Игорь Данилов
Платформа: PC
Совместимость вместе с Vista: полная
Системные потребности: * Поддерживаемые ОС: Windows 2000(SP4)/XP/Vista (лишь только ради 32-битных систем).
* Свободное пространство на жестком диске: далеко не не более 50 МБ.
* Доступ к сети Всемирная сеть: с целью регистрации а также получения обновлений.
Язык интерфейса: Мультиязычный (русский существует)
Таблэтка: Присутствует
Описание: Dr.Web Security Space - лучшее решение вопроса комплексной охраны ПК от всемирная сеть-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, компьютерных мошенников, спама, фишинговых сообщений, зараженных всемирная сеть-страниц а также кибер-преступности, направленной против детей. Продукт обеспечивает комплексную защиту рабочих станций почти под управлением Microsoft Windows 2000/XP/Vista (лишь ради 32-битных систем).
В состав Dr.Web с целью Windows входят похоже Планировщик заданий ради Windows 95/98/Me, сканер с целью среды DOS а также ряд вспомогательных программ.
Компания «Доктор Веб» сообщила О массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего немножко альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 а также вплоть вплоть до беты Windows 7. Ради упаковки собственных файлов Win32.HLLW.Shadow.based применяет полиморфный (вечно видоизменяющийся) упаковщик, что именно затрудняет его детектирование обычными методами.
Способы распространения
Сетевой червь Win32.HLLW.Shadow.based (отдельные образцы которого схоже могут определяться антивирусами Dr.Web как будто Win32.HLLW.Autorunner.5555), применяет ради своего распространения немедля немножко способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей а также сетевых дисков. В этом случае название вредоносного файла является псевдослучайным, только самолично он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок применяется в Windows с целью хранения удалённых объектов, что сейчас а также разрешает вирусу долгое время оставаться незаметным с целью пользователя.
Кроме того, червь вероятно распространяться согласно сети вместе с использованием стандартного с целью Windows-сетей протокола SMB. При этом с целью организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее зачастую встречающиеся способы задания пароля, однако схоже варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку ЭВМ-жертвы а также создаёт задание на запуск сквозь определённый промежуток времени.
Еще один вариация распространения вируса ровно по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой ЭВМ отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий ПК-жертва загружает вредоносный файл ровно по протоколу HTTP.
Действия, совершаемые впоследствии запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он лежит. Если бы это процесс rundll32.exe, так происходит внедрение вирусного кода в системные процессы svchost.exe а также explorer.exe. Затем червь открывает в Проводнике текущую папку а также прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что сейчас лежит никак не в процессе rundll32.exe, в таком случае он образует свою копию с случайным именем а также прописывает её в качестве службы Windows, вносит изменения в реестр ради обеспечения автоматического запуска впоследствии перезагрузки ПК, но похоже останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, вместе с помощью которого наступает дальнейшее распространение инфекции ровно по сети.
Если вирус определяет, что именно лежит в процессе svchost.exe, запущенном в качестве DNS-клиента, в таком случае он внедряет личный код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys вместе с целью снятия стандартных ограничений системы на число одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана вместе с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов с специальных серверов, установку а также запуск этих программ на компьютерах бот-сети. Целью преступников вероятно быть как будто самостоятельное извлечение прибыли из построенной бот-сети, этак а также её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время конечно нет.
Процедура лечения системы от Win32.HLLW.Shadow.based а также меры ровно по профилактике подобных методов заражений
Скачать текущую версию утилиты Dr.Web CureIt! вместе с неинфицированного ЭВМ а также просканировать все диски, тем самым произведя лечение системы.
Отключить зараженный ПК от локальной сети а также от Интернета. В случае если все ПК находятся в одной локальной сети, так вылеченный ПК должен быть включать назад лишь только затем того, как будто будут вылечены все зараженные станции.
Установить патчи, указанные в последующих информационных бюллетенях Microsoft:
MS08-067
MS08-068
MS09-001
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ с съёмных носителей, приминять автоматическое обновление Windows, никак не приминять простые пароли ради входа в систему.
Возможности антивируса Dr.Web ровно по противодействию Win32.HLLW.Shadow.based
Так как будто сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы а также ветки реестра средствами Windows таким образом, что сейчас чтение их стандартными средствами становится нельзя, в таком случае вылечить систему от сего вируса дозволено лишь только сканером Dr.Web с целью Windows вместе с графическим интерфейсом версии отнюдь не ниже 4.44. В данные версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, кой разрешает приобретать неограниченный доступ к защищенным такими образом файлам а также веткам реестра.
Файловый дисплей SpIDer Guard, входящий в состав антивируса Dr.Web ради Windows версий 4.44 а также 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.