Re: svchost.exe

From

Dmitry Petryakov (2:5020/400)

To

Gleb Kozyrev

Date

2005-04-13T19:50:58Z

Area

RU.WINDOWS.XP

From: "Dmitry Petryakov" <vector@mgn.ru>

Здравствуй, Gleb !
Тобой было отправлено 2243 байт для Kedrov Sergey
это было в 18:49 одиннадцатого числа, апреля месяца

GK> Инфицирован C:\windows\svchost.exe. Его вообще прибить надо -- 
GK> это рассадник вируса.
GK> А система использует c:\windows\system32\svchost.exe

Вот информация по вирусу Win32\Jeefo с viruslist.ru:

====================
Virus.Win32.Hidrag.a
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE
EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою
копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и
регистрирует этот файл в ключе автозапуска системного реестра:

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE
EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

  Hidden Dragon virus. Born in a tropical swamp.
  PowerManagerMutant

====================
Virus.Win32.Hidrag.b
Резидентный паразитический вирус. Заражает приложения Win32 (PE EXE-файлы).
По своим функциям полностью идентичен варианту Virus.Win32.Hidrag.a.

====================
Virus.Win32.Hidrag.с
Резидентный паразитический вирус.

После запуска вирус копирует себя в корневой каталог Windows с именем
"svchost.exe":

%WinDir%\svchost.exeЗатем вирус регистрирует этот файл в ключе автозапуска
системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager" = "%Windir%\svchost.exe" Вирус ищет Win32 PE EXE файлы с
расширениями .exe на логических дисках компьютера и заражает их. Зараженные
файлы увеличиваются в размере на 36352 байт.

--------------------
Я им сам недавно заразился, за 2 часа "вылечился", этот гад успел заразить 
мне около 100 файлов   :(  Хорошо хоть вреда не приносит явного.

С пожелайнейшими наилучшами, Dmitry Petryakov.


--- ifmail v.2.15dev5.3
 * Origin: Demos online service (2:5020/400)
SEEN-BY: 46/50 50/361 450/186 247 1024 461/43 132 640 469/999 4614/20 4616/3
SEEN-BY: 4625/8 4627/10 4635/4 4646/1 4652/15 5000/76 5000 5001/5001 5003/57
SEEN-BY: 5006/1 5007/1 5010/53 70 87 5011/13 5012/23 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 154 175 194 400 545 639 715 758 780 830 937 1057 1604 1909
SEEN-BY: 5020/1922 2020 2238 4441 5022/128 5025/3 750 5026/14 45 5027/16
SEEN-BY: 5030/49 115 966 1339 1900 5031/70 5034/13 5035/38 5036/1 34 5041/20
SEEN-BY: 5042/13 5054/1 8 9 36 37 63 66 67 75 81 5060/90 5061/15 5062/10 18
SEEN-BY: 5063/3 5067/2 5069/7 5070/1222 5074/9 5075/5 5077/80 5079/23 5080/80
SEEN-BY: 5080/1003 5082/6 5083/21 5084/32 5085/13 5090/106 107 5092/1 5095/20
SEEN-BY: 5096/18 5099/4 11 6000/12 254 6001/3 10 6002/3 6035/9 6070/228

PATH: 5020/400 4441 545 5054/1 37