Нов скайп вирус
Нов вид вирус се разпространява в мрежата на Скайп (Skype). Заразеният Скайп клиент изпраща (без потребителя да вижда това) съобщение от вида “look what crazy photo Tiffany sent to me, looks cool” на всички потребители в неговия списък. Съобщението съдържа линк към интернет страница със снимки, но всъщност този линк води директно към самия вирус. След като вирусът е свален, той се опитва да деактивира всички налични антивирусни програми (и други инструменти). Той блокира техния достъп до ъпдейтите. Програмата Avira AntiVir не е засегната от този вирус. Вирусът се инжектира в процеса explorer.exe.
Информация
- Вирус: Worm/Skipi.C
- Открит на: 11/09/2007
- Вид: Worm
- Статичен файл: Да
- Големи на файла: 188.416 байта
Начини на разпространение
- Скайп
Псевдоними
- Kaspersky: Worm.Win32.Skipi.c
- Eset: a variant of Win32/Persky worm
Операционна система
- Windows NT
- Windows 2000
- Windows XP
- Windows 2003
Странични ефекти
- Registry modification
Вирусът се копира във следните места:
- %SYSDIR%\stwinsdat.exe
- %SYSDIR%\odcwinst.exe
- %SYSDIR%\windb32.exe
- %SYSDIR%\servftc.exe
Вирусът добавя следните ключове в регистрите:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Windows Sysdat=”explorer.exe odcwinst.exe”
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Logon Settings2=”odcwinst.exe”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Policies Options2=”"
HKLM\SOFTWARE\RMX\cfg
j=”j”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Driver2=-
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Services Start2=”odcwinst.exe”
HKCU\Software\RMX\cfg
j=”j”
Ето как изглежда съобщението, изпращано от вируса:
http://www.fakme.org/erotic-gallerys/usr5d8c/dsc027.jpg
u happy ?
how are u ?
where I put ur photo
(devil)
haha lol
http://www.fakme.org/erotic-gallerys/usr5d8c/dsc027.jpg
Източник: http://stechkov.blogspot.com/2007/09/security-news.html