W32.Redlofs


Описание
W32.Redlofs (Symantec) - сетевой червь, направленный на операционные системы семейства Windows. Размер - 73 байта.


Инсталляция
При старте вредонос создает следующие файлы:

  • %Windir%\10.1.08.exe
  • %Windir%\1o.1.o8.exe
  • %Системный_диск%\10.1.08.exe

где %Windir% - директория, в которую установлена Windows, обычно "C:\Windows"

Для обеспечения автозагрузки своего файла при каждом запуске Windows, черь использует один из способов:

  1. Создает (1 запись) и модифицирует (2,3) следующие записи в реестре:
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"

    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Shell" = "Explorer.exe C:\WINDOWS\1o.1.o8.exe shell"

    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Userinit" = "C:\WINDOWS\10.1.08.exe init"

  2. Создает в реестре подключ
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ .key

  3. Создает в реестре ключ
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".key" = "exefile"

  4. Модифицирует следующие записи в реестре:
    • HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ "NoFolderOptions" = "1"

    • HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableTaskMgr" = "1"

    • HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableRegistryTools" "1"

    • HKEY_USERS\ S-1-5-21-1172441840-534431857-1906119351-500\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ "1o.1.o8" = "C:\ WINDOWS\ 1o.1.o8.exe hcurun"

    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".bat" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".cmd" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".com" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".hta" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".js" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".JSE" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".msi" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".pif" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".reg" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".scr" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".VBE" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".vbs" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSF" = "exefile"
    • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ ".WSH" = "exefile"


Деструктивная активность
Червь распространяется посредством копирования себя на все диски. Затем создает на каждом из них файл автозапуска autorun.inf, а также делает директории скрытыми, создавая свои исполняемые копии с таким же именем и иконкой директории.

Еще добавляет в контекстное меню (вызываемое по правой кнопке мыши) пункт

  • "Scan for viruses by Bkav2006"


При запуске Редактора реестра (regedit32.exe) может завершить сеанс работы администратора.

Визуальное проявление: вокруг указателя мыши вращается мигающая салатовая точка.


Методы борьбы
Для удаления вредоносной программы необходимо выполнить следующие действия:

  1. Отключить функцию "Восстановление системы" (для Windows ME и XP).
  2. Удалить все ключи реестра, созданные вредоносной программой, и восстановить все измененные настройки (использовать команду regedit.exe)
  3. Проверить систему антивирусом с обновлнной базой сигнатур, или бесплатной лечащей утилитой Dr.WebCureIt!.