В интернете распространяется червь, стирающий все MP3 на компьютере - Флейм

DJLOVE · 04.08.2007, 17:06

Цитата:

В интернете появился новый червь под ОС семейства Windows, который проявляет себя тем, что удаляет все MP3 с компьютера пользователя. Компания Symantec назвала вредоносную программу W32.Deletemusic и дала рекомендации по мерам предосторожности.

Размер файла - 380КБ, червь написан на языке Delphi. При первом запуске он копирует себя на все диски, включая съемные, и обеспечивает автозапуск при открытии любых дисков и запуске Windows. При этом W32.Deletemusic закрывает пользователю доступ к Диспетчеру задач и контекстным меню папок.
Symanteс рекомендует при подозрении на заражение этим червем провести полную проверку системы антивирусной программой с обновленной базами.

Меломаны берегись!

maxximik · 04.08.2007, 17:20

W32.Deletemusic
Признаки

При первом запуске создаёт файлы:

* %System%\config\csrss.exe
* %Windir%\media\arena.exe
* %System%\logon.bat
* %System%\config\autorun.inf

Копирует себя в корни всех дисков под именем csrss.exe; там же создаёт файл автозапуска autorun.inf, содержащий ссылку на csrss.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\" Worms" = "C:\WINDOWS\system32\logon.bat"

Через реестр удаляет из меню "Настройка" пункт "Свойства папки", а также запрещает доступ к Диспетчеру задач:

* HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Expl orer\"NoFolderOptions" = "1"
* HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Syst em\"DisableTaskMgr" = "1"

Удаляет на всех дисках файлы с расширением MP3.
Защита

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие
Распространяется копированием себя на все доступные диски; удаляет с компьютера все MP3-файлы.

ThunderDooM · 04.08.2007, 17:34

Сволочь!!!

Warchief · 04.08.2007, 19:40

да не то слово, все вирусы как вирусы, а этот странный какой-то

Breeze · 04.08.2007, 20:09

Особенно мне понравилось

Цитата:

Червь под названием W32 . Deletemusic распространяется на переносных накопителях. Когда такое зараженное устройство подключается к компьютеру, вирус проникает во все приводы и поражает систему.

Источник: http://webportall.ru/2007/08/03/viru...it_muzyku.html

colin · 05.08.2007, 05:46

*вспоминая о гигабайтах музыки на двух дисках*

ээээ... а бороться-то с ним как? и где его обычные местообитания, чтобы обходить всеми сторонами и огородами?

Trotil · 07.08.2007, 07:31

Сводка по нескольким антивирусникам: тут (с названиями)

Только я одного не понимаю - у Суманстека дата детектирования стоит 30 июля - именно и тогда появилась эта новость в сводках новостей. У Касперского - дата детектирования - 26 мая. Да, разница...

korotetsky · 07.08.2007, 16:58

того гляди он и мои болванки с музыкой потрет?

inviner · 20.08.2007, 14:47

все mp3 закинул в архивы

04.08.2007, 17:20	# 2
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	W32.Deletemusic Признаки При первом запуске создаёт файлы: * %System%\config\csrss.exe * %Windir%\media\arena.exe * %System%\logon.bat * %System%\config\autorun.inf Копирует себя в корни всех дисков под именем csrss.exe; там же создаёт файл автозапуска autorun.inf, содержащий ссылку на csrss.exe. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows: * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\" Worms" = "C:\WINDOWS\system32\logon.bat" Через реестр удаляет из меню "Настройка" пункт "Свойства папки", а также запрещает доступ к Диспетчеру задач: * HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Expl orer\"NoFolderOptions" = "1" * HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Syst em\"DisableTaskMgr" = "1" Удаляет на всех дисках файлы с расширением MP3. Защита * Отключить функцию "Восстановление системы" (для Windows ME и XP) * Полностью проверить систему антивирусом с обновлённой базой сигнатур * Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется копированием себя на все доступные диски; удаляет с компьютера все MP3-файлы. __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

04.08.2007, 19:40	# 4
Warchief ::VIP:: Регистрация: 14.05.2003 Адрес: 127.0.0.1 Сообщения: 852	да не то слово, все вирусы как вирусы, а этот странный какой-то __________________ reality.sys corrupt Kernel panic - not syncing: Fatal exception halt life(y,n)?

07.08.2007, 16:58	# 8
korotetsky kotofeysky Регистрация: 29.05.2005 Адрес: подоконник Пол: Male Сообщения: 2 875	того гляди он и мои болванки с музыкой потрет? __________________ все мы друг другу грузовики. все мы возим друг друга друг в друге...

20.08.2007, 14:47	# 9
inviner ::VIP:: Диджей-2004 Регистрация: 13.09.2002 Адрес: Moscow Sumbarine ГлавСанЮнг Сообщения: 763	все mp3 закинул в архивы __________________ В пятницу больше всего хочется выпить, а в понедельник больше всего хочется пятницу! Ага а программы ведь тоже надо лечить!!!

04.08.2007, 17:34	# 3
ThunderDooM Junior Member Регистрация: 30.05.2005 Сообщения: 63	Сволочь!!!

05.08.2007, 05:46	# 6
colin Newbie Регистрация: 17.06.2003 Сообщения: 12	вспоминая о гигабайтах музыки на двух дисках ээээ... а бороться-то с ним как? и где его обычные местообитания, чтобы обходить всеми сторонами и огородами?

07.08.2007, 07:31	# 7
Trotil Advanced Member Регистрация: 21.04.2005 Адрес: град Москва Сообщения: 431	Сводка по нескольким антивирусникам: тут (с названиями) Только я одного не понимаю - у Суманстека дата детектирования стоит 30 июля - именно и тогда появилась эта новость в сводках новостей. У Касперского - дата детектирования - 26 мая. Да, разница...