[SYMANTEC] Ostrzeżenie przed W32.Fypzserv

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21302
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

[SYMANTEC] Ostrzeżenie przed W32.Fypzserv

Post20 lip 2013, 23:45

Ostatnie na dziś ostrzeżenie od firmy Symantec. Tym razem dotyczące wirusa W32.Fypzserv kompromitującego pliki dokumentów, archiwów i plików multimedialnych.

Szkodnik działa na wszystkich systemach Windows. Rozprzestrzeniać się może z dysków wymiennych.

Po uruchomieniu kopiuje siebie do plików

Kod: Zaznacz cały

    %SystemDrive%\[CURRENT USER].exe
    %UserProfile%\igfxhost.exe


Na dyskach przenośnych tworzy pliki

Kod: Zaznacz cały

    %DriveLetter%\Image.exe
    %DriveLetter%\Movie.exe
    %DriveLetter%\[CURRENT USER].exe




Do rejestru dodaje informacje

Kod: Zaznacz cały

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"igfxhost" = "%UserProfile%\igfxhost.exe"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"LastIndex" = "0"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableTaskMgr" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"



Następnie modyfikuje pliki

Kod: Zaznacz cały

    docx
    doc
    xls
    xlsx
    pptx
    ppt
    mdb
    mdf
    accdb
    jpg
    jpeg
    zip
    rar
    pdf
    pst
    psd
    cdr
    avi
    mkv
    mp4
    mov
    vob
    mp3
    iso
    nrg
    flv
    swf


W rejestrze wirus zmienia

Kod: Zaznacz cały

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"UncheckedValue" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"CleanShutdown" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\"Start" = "4"


Wyłącza też przywracanie systemu.
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Lokalizacja: Pasztowa Wola Kolonia.
Kontaktowanie:

[SYMANTEC] Ostrzeżenie przed W32.Fypzserv

Post21 lip 2013, 09:20

Cudeńko ;) . AVG i Avira Go przepuszcza na razie.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość