Virus: Solow distruge sistemul de operare
Din data de April 4, 2007
In categoria Virus!, Windows |
Metoda principala de raspandire a viermelui Solow este prin unitati de stocare mobile. Cand porneste, creaza o sumedenie de fisiere si modifica registry. Viermele contorizeaza numarul rularilor, si cand se ruleaza a 100-a oara, sterge fisiere si directoare importante din Windows.
Viermele incearca continuu sa se copieze pe unitati de stocare mobile, ca pendrive-urile.
La activare, viermele Solow face urmatoarele operatiuni:
1. Creaza urmatoarele fisiere:
%Windir%\pchealth\helpctr\binaries\msconfig.exe
%Windir%\regedit.exe
%System%\cmd.exe
%System%\systeminit.exe
%System%\taskmgr.exe
%System%\wininit.exe
%System%\winsystem.exe
2. Copiaza urmatoarele fisiere pe unitatile de stocare mobila:
kerneldrive.exe
autorun.inf
3. Creaza urmatoarele insemnari in registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\”wininit” = “%System%\wininit.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Userinit” = “%System%\systeminit.exe”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\”Window Title” = “Hacked by 1BYTE”
HKEY_CURRENT_USER\Software\Microsoft\”nFlag” = “[numarul rularii codului]”
HKEY_CURRENT_USER\Software\Microsoft\”ServicePack” = “1.2″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
4. Modifica urmatoarele insemnari in registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\”SearchHidden” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\”SeachSystemDirs” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer\”NoDriveTypeAutoRun” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer\”NoFolderOptions” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced\”Hidden” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced\”HildeFileExt” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced\”ShowSuperHidden” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced\”SuperHidden” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess\”Start” = “1″
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Policies\Explorer\”NoFolderOptions” = “1″
5. Cand e rulat de 100 de ori, incearca sa stearga urmatoarele fisiere:
%SystemDrive%\boot.ini
%SystemDrive%\IO.SYS
%SystemDrive%\MSDOS.SYS
%SystemDrive%\NTDETECT.COM
%SystemDrive%\ntldr
6. Sterge toate fisierele din urmatoarele directoare:
%Windir%
%ProgramFiles%
%SystemDrive%\Documents and Settings.
Acum un an...
- Star Wars: The Force Unleashed in septembrie
- XP - timp de inca doi ani
- Primele poze Tiberium
- CyberLink MediaShow 4, PowerDVD 8 si MoovieLive.com
- Europa Universalis: Rome demo
Discuta pe forum!
Parerile cititorilor
2 Pareri to “Virus: Solow distruge sistemul de operare”
Spune-ti parerea!
si care-i antidotul?
eu l-am gasit cautand cu Windows Doctor care recomanda sa-l sterg. am patit-o acum cateva zile sa iau ceva de pe net(nu stiu de unde) si dupa un restart nu mai aveam acvces la: start, cmd, regedit, ecran complet negru doar 4 icon-uri a mai lasat pe ecran, nu puteam sa dau paste. am reusit sa salvez datele prin taskmgr care-l programasem sa porneasca la restart. am reinstalat sistemul si gasesc C:\Windows\system32\wininit.exe El se poate transmite pe dvd cand copiez un kit sau pe telefon usb. am sa-l sterg dar astept un raspuns cum sa-l caut prin kit-urile salvate pe dvd si pe telefon. Win doctor mai zice ca wininit.exe is added to the system as a result of the WOLLF.16 virus. It is a backdoor Trojan horse allows unauthorized remote access to an infected computer. Autor:N/A Process PID:588.
MULTUMESC.
am gresit.scuze. aici e vorba de Solow. eu am dat sa caut pe google winini.exe si am gasit pagina asta dar nu m-am uitat la titlu doar la ce se intampla cu un virus.am vazut ca am postat gresit dupa ce am incercat sa sterg wininit din system32 si nu reusesc. reinstalez sistemul sa vad daca mai apare wininit in sistem32.