Новый опасный сетевой червь

05.09.2002 | 15:25
Антивирусная компания Sophos сообщает об обнаружении червя W32/Kilonce-A, распространяющегося через сетевые ресурсы с открытым доступом.

Червь копирует себя в каталог Windows под именем KILLONCE.EXE и создает ряд ключей в реестре, обеспечивающих его запуск при последующих загрузках системы. После запуска червь делает открытыми для свободного доступа все диски инфицированной системы: от C: до K:. Затем он ищет открытые для доступа ресурсы на удаленных компьютерах. В случае удачи, записывает свои копии в папке Windows под именем REGEDIT.EXE (настоящий сохраняет под именем REGEDIT.EXE.SYS) и под именем RUNDLL32.EXE (настоящий сохраняет под именем RUN32.EXE).

W32/Kilonce-A способен также перезаписывать собой все EML файлы.

Кроме того, сразу же после запуска, червь ищет программы, в именах файлов которых есть символы "AV" и "KV", а также LOAD.EXE и удаляет их.

Деструктивная функция W32/Kilonce-A заключается в том, что 13-го декабря вирус дописывает в AUTOEXEC.BAT строку, которая при последующей загрузке удалит все файлы на диске C:.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.sophos.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код