ВИРУСОЛОГИЯ: Fnumbot, AutoRun.acn и AutoRun.aing
Компания Symantec опубликовала на этой неделе семь сообщений о вирусах, из которых наиболее опасным является Fnumbot. После своего запуска червь создает файл %Temp%\vshost32.exe и обеспечивает для него автозапуск через ключ реестра HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Userinit" = "%System%\userinit.exe,%Temp%\vshost32.exe" Червь является частью ботнета, поскольку подгружает обновления с подконтрольных автору сайтов. Кроме того, он копирует себя на съемные носители в файл autorun.inf, а также может посылать сообщения для систем Yahoo Messenger, AOL Messenger, MSN Messenger, ICQ и Skype.
Червь AutoRun.acn после своего запуска копирует свое тело в директорию %System%\5321F6DF.EXE и обеспечивает свой запуск с помощью модификации ключа реестра HCU\System\CurrentControlSet\Services\D245F88F. Затем червь скачивает из Internet другие вредоносные программы и запускает их на исполнение. Затем червь копирует себя в корни всех дисков с именем auto.exe и формирует соответствующий файл autorun.inf.
Червь AutoRun.aing является более опасным поскольку помимо закачки других вредоносных программ из Internet он нарушает работу некоторых сервисов самой Windows (ClipSrv, Spooler и DMusic), внедряя вредоносную библиотку cliporv.dll в процессы explorer.exe и svchost.exe. Червь также блокирует работу большинства антивирусных продуктов, переводя их в режим отладки. Вычистить этот вредонос из компьютера достаточно сложно - тем не менее "Лаборатория Касперского" публикует подробный перечень инструкций для удаления этого вредоносного программного обеспечения.
www.osp.ru