aborche (aborche) wrote,
aborche
aborche

Взляд со стороны на Kido(Downadup, Conficker)

Весь мир последнее время будоражат сообщения о гигантской эпидемии нового вируса основанного на дырке в RPC(MS08-67), якобы масштабы эпидемии устрашающие и скоро настанет конец света. Мою сеть эта гадость вроде бы обошла стороной, хотя всеобщий шухер заставил поволноваться, тем более я не сталкивался с таким видом вирусов до текущего момента. После брожений по жж, мне предложили посмотреть 2 семпла этой заразы (Kido.bx и Kido.eo).
Сегодня я подготовил свою любимую связку машиин для таких вещей и с трепетом решил посмотреть чего боится весь мир.

В качестве семпла мне достались 2 архива с файлами.
1й архив
autorun.inf(59288b)
jwgkvsq.vmx(165025b)
2й архив
autorun.inf(59306b)
jwgkvsq.vmx(168509b)

Порадовал obfuscated autorun.inf - это уже что-то новенькое в плане вирусов, был приятно удивлён. В код вируса не полез(лень), просто посмотрел что делает снаружи. Механизм запуска до безобразия прост. По постоянному пути
RECYCLER\S-5-3-42-2819952290-8240759888-879315005-3665\jwgkvsq.vmx лежит исполняемая библиотека содержащая тело вируса. Из autorun.inf библиотека дергается при помощи строки

shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn


без ключа ahaezedrn библиотеку вызвать невозможно(падает с ошибкой). Тело вируса не подвергается сокрытию при помощи специальных сервисов, всего-лишь производятся манипуляции с реестром которые отключают показ скрытых файлов. После запуска библиотеки в %system32% создается файлик nlvks.dll с аттрибутами архивный, системный, только для чтения и скрытый.

Для вычисления вирусной библиотеки идём в %system32% и из командной строки набираем dir /AH и видим список файлов у которых установлен атрибут Hidden.

C:\WINDOWS\system32<dir /AH
 Volume in drive C has no label.
 Volume Serial Number is 1440-2A03

 Directory of C:\WINDOWS\system32

25.03.2008  12:05               749 cdplayer.exe.manifest
25.03.2008  12:37    <DIR>          dllcache
25.03.2008  12:05               488 logonui.exe.manifest
25.03.2008  12:05               749 ncpa.cpl.manifest
15.04.2008  14:00           168 509 nlvks.dll
25.03.2008  12:05               749 nwc.cpl.manifest
25.03.2008  12:05               749 sapi.cpl.manifest
25.03.2008  12:05               488 WindowsLogon.manifest
25.03.2008  12:05               749 wuaucpl.cpl.manifest
               8 File(s)        173 230 bytes
               1 Dir(s)  74 078 367 744 bytes free


Многие пользователи столкнулись с тем, что файл нельзя удалить даже после корректного лечения. Это происходит по причине смены прав вирусом на файл в Everyone(R).

C:\WINDOWS\system32\>cacls nlvks.dll
C:\WINDOWS\system32\nlvks.dll Everyone:(special access:)
                                       READ_CONTROL
                                       SYNCHRONIZE
                                       FILE_GENERIC_READ
                                       FILE_READ_DATA
                                       FILE_READ_EA
                                       FILE_READ_ATTRIBUTES 


меняем права на файл при помощи следущей команды

C:\WINDOWS\system32>cacls nlvks.dll /G Everyone:F
Are you sure (Y/N)?y
processed file: C:\WINDOWS\system32\nlvks.dll

C:\WINDOWS\system32>cacls nlvks.dll
C:\WINDOWS\system32\nlvks.dll Everyone:F


Самый простой способ найти сервис отвечающий за вирус это запустить редактор реестра, зайти в ветку
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

и посмотреть значение ключа netsvcs, в самом конце значений будет имя сервиса который формируется вирусом, копируете полученное значение и удаляете его из списка SvcHost.
Далее в \HKLM\SYSTEM\CurrentControlSet\Services ищете указанное последним имя(скорее всего это просто набор букв). Вирус убирает права Администраторов для открытия/редактирования ветки реестра и оставляет права SYSTEM только на чтение. Правой кнопкой из меню "Разрешения/Permissions" добавляете Администратора на полный доступ и просто удаляете данный кусок реестра.

Следующий шаг - удаление autorun.inf

C:\>attrib autorun.inf
A  SHR     C:\autorun.inf
C:\>attrib -H -A -S -R autorun.inf
C:\>attrib autorun.inf
           C:\autorun.inf
C:\>del autorun.inf


Тело вируса по прежнему живёт в памяти компутера.
Теперь можно перезагрузить машину.
После перезагрузки тело вируса из system32 можно легко удалить.
НО ! вирус гадит в реестр и отключает нормальную возможность управления папками(show hidden files). Антивирусные тулкиты не восстанавливают данные в реестре и Вы после лечения получаете полуживой GUI. Далее напишу что нужно сделать. Вот лог работы вируса с реестром при внедрении в систему:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	B3 30 86 55 10 D5 A9 F3 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	CB 7A F3 9F CB 38 46 D2 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	06 A7 15 FD F7 EA 90 D9 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	A1 2D 28 E4 79 78 C1 74 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	6A EE 94 3A 6A 6F D9 40 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	B9 6F 4D 36 05 58 49 42 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	E4 A0 C5 56 8F C0 D5 5A ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	C3 B7 55 0B 2D EC 25 09 ...
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\DisplayName	SUCCESS	Boot Image
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Type	SUCCESS	0x20
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Start	SUCCESS	0x2
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ErrorControl	SUCCESS	0x0
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ImagePath	SUCCESS	%SystemRoot%\system32\svchost.exe -k netsvcs
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\ObjectName	SUCCESS	LocalSystem
HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Description	SUCCESS	Manages audio devices for Windows-based programs. HKLM\SYSTEM\CurrentControlSet\Services\gzpqqlwie\Parameters\ServiceDll	SUCCESS	C:\WINDOWS\system32\nlvks.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs	SUCCESS	6to4...
HKLM\System\CurrentControlSet\Services\SR\Parameters\FirstRun	SUCCESS	0x1
HKLM\System\CurrentControlSet\Services\tbpir\Type	SUCCESS	0x1
HKLM\System\CurrentControlSet\Services\tbpir\Start	SUCCESS	0x3
HKLM\System\CurrentControlSet\Services\tbpir\ErrorControl	SUCCESS	0x0
HKLM\System\CurrentControlSet\Services\tbpir\ImagePath	SUCCESS	\??\C:\WINDOWS\system32\01.tmp
HKLM\System\CurrentControlSet\Services\tbpir\DisplayName	SUCCESS	tbpir
HKLM\System\CurrentControlSet\Services\tbpir\Security\Security	SUCCESS	01 00 14 80 90 00 00 00 ...
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\NextInstance	SUCCESS	0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Control\*NewlyCreated*	SUCCESS	0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Service	SUCCESS	tbpir
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Legacy	SUCCESS	0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\ConfigFlags	SUCCESS	0x0
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\Class	SUCCESS	LegacyDriver
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\ClassGUID	SUCCESS	{8ECC055D-047F-11D1-A537-0000F8753ED1}
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_TBPIR\0000\DeviceDesc	SUCCESS	tbpir
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\0	SUCCESS	Root\LEGACY_TBPIR\0000
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\Count	SUCCESS	0x1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\NextInstance	SUCCESS	0x1
HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\Root\LEGACY_TBPIR\0000\Control\ActiveService	SUCCESS	tbpir
HKLM\System\CurrentControlSet\Services\tbpir\DeleteFlag	SUCCESS	0x1
HKLM\System\CurrentControlSet\Services\tbpir\Start	SUCCESS	0x4
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TBPIR\0000\Driver	SUCCESS	{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\Count	SUCCESS	0x0
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\tbpir\Enum\NextInstance	SUCCESS	0x0
HKLM\System\CurrentControlSet\Services\wuauserv\Start	SUCCESS	0x4
HKLM\System\CurrentControlSet\Services\BITS\Start	SUCCESS	0x4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState	SUCCESS	24 00 00 00 32 08 00 00 ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden	SUCCESS	0x2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowCompColor	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\DontPrettyPath	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\MapNetDrvBtn	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Filter	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SeparateProcess	SUCCESS	0x0
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	DE 52 E0 97 C5 F9 E4 4F ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	82 71 9D 0F 90 4D 67 90 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	BE F5 5E B0 9D DA 52 1B ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	00 AA 4C 7D 6C B7 DD 10 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	40 C1 53 03 ED 69 30 11 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	FF 45 96 D9 84 2F 3D 55 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	6A 20 70 BD 43 36 2B C9 ...
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	SUCCESS	84 3D 58 7A ED 13 4C 90 ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65838386-eb83-11dd-ab47-806d6172696f}\BaseClass	SUCCESS	Drive
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65838387-eb83-11dd-ab47-806d6172696f}\BaseClass	SUCCESS	Drive
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\NodeSlots	SUCCESS	02 02 02 02 02 02 02 02 ...
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx	SUCCESS	00 00 00 00 04 00 00 00 ...
HKCU\Software\Microsoft\Internet Explorer\Toolbar\Locked	SUCCESS	0x1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Type	SUCCESS	0x3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Count	SUCCESS	0x15
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\iexplore\Time	SUCCESS	D9 07 01 00 01 00 1A 00 ...
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\NodeSlots	SUCCESS	02 02 02 02 02 02 02 02 ...
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx	SUCCESS	00 00 00 00 04 00 00 00 ...
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\FolderType	SUCCESS	Documents
HKCU\SessionInformation\ProgramCount	SUCCESS	0x3
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_PGYFRFFVBA	SUCCESS	DA FC 4B 0E 01 00 00 00 
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MinPos1024x768(1).x	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MinPos1024x768(1).y	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MaxPos1024x768(1).x	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\MaxPos1024x768(1).y	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).left	SUCCESS	0x6E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).top	SUCCESS	0x6E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).right	SUCCESS	0x38E
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WinPos1024x768(1).bottom	SUCCESS	0x2C6
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Rev	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\WFlags	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ShowCmd	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\FFlags	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\HotKey	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Buttons	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Links	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Address	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Vid	SUCCESS	{0E1FA5E0-3573-11CF-AE69-08002B2E1262}
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Mode	SUCCESS	0x3
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ScrollPos1024x768(1).x	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ScrollPos1024x768(1).y	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Sort	SUCCESS	0x0
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\SortDir	SUCCESS	0x1
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\Col	SUCCESS	0xFFFFFFFF
HKCU\Software\Microsoft\Windows\ShellNoRoam\Bags\9\Shell\ColInfo	SUCCESS	00 00 00 00 00 00 00 00 ...
HKCU\SessionInformation\ProgramCount	SUCCESS	0x2
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Paths	SUCCESS	0x4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path1\CachePath	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache1
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path2\CachePath	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache2
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path3\CachePath	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache3
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path4\CachePath	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Cache4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path1\CacheLimit	SUCCESS	0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path2\CacheLimit	SUCCESS	0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path3\CacheLimit	SUCCESS	0x950E4
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Path4\CacheLimit	SUCCESS	0x950E4
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies	SUCCESS	C:\Documents and Settings\NetworkService\Cookies
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History	SUCCESS	C:\Documents and Settings\NetworkService\Local Settings\History
HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable	SUCCESS	0x0
HKCC\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable	SUCCESS	0x0
HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings	SUCCESS	3C 00 00 00 03 00 00 00 ...




Красным цветом обозначены наиболее важные для нас сейчас блоки реестра.


HKLM\System\CurrentControlSet\Services\wuauserv\Start SUCCESS 0x4
HKLM\System\CurrentControlSet\Services\BITS\Start SUCCESS 0x4

Эти строки выставляют сервисы "Automatic Updates" и "Background Intelligent Transfer Service" в состояние Disabled. Нужно зайти в настройку сервисов и поменять тип запуска на "Automatic".

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
Данный параметр отвечает за возможность показа "hidden" файлов, необходимо вернуть значение для ключа в 0x1 и через настройку вида папок включить отображение скрытых файлов.

Значения в ветке
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Лучше удалить, чтобы после перезагрузки данные были получены из профиля по умолчанию.

В разделе HKCU\Software\Microsoft\Windows\ShellNoRoam
лучше удалить блоки "Bags" и "BagMRU" которые отвечают за представление папок в системе. Они создадутся заново когда Вы будете настраивать вид папок.

Нижеидущие(по логу) настройки кешхранилища можно оставить как есть, но все временные файлы будут сохраняться в другой профиль.
Вирус создаёт правило исключения для Firewall, которое можно удалить из настроек Firewall.

Для блокировки распространения вируса и удобного лечения можно либо отключить машину от сети, либо дать машине адрес /32 без указания шлюза через DHCP. На общем шлюзе порт 445 желательно заблокировать на вход и на выход всем без исключения.

В общем я не сильно вдавался на грамотность написания кода данного вируса, но механизм защиты и распространения меня не сильно впечатлил. Возможно позже мы столкнёмся с более совершенными версиями данного семейства вирусов.
Возможно эта статья кому-то поможет в решении проблем в локальной сети и дома, другим может будет полезна с точки зрения общего образования.
Удачи Вам и спокойной работы.
(C)aborche

ЗЫ: забыл сказать. Вирус сам себе ставит подножки в виде установки атрибутов на реестр и файл исполняемой библиотеки и при попытке повторной инсталляции тупо падает :))

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 16 comments