Win32Holar.H@mm

Alias: I-Worm.Hawawi.e Tip: Mass-mailer & Kazaa worm Raspandire: Medie Risc: Ridicat Simptome: prezenta cheilor de registri: HKLM\Software\Microsoft\ Windows\CurrentVersion\run\Explore si


Alias: I-Worm.Hawawi.e Tip: Mass-mailer & Kazaa worm Raspandire: Medie Risc: Ridicat Simptome: prezenta cheilor de registri: HKLM\Software\Microsoft\ Windows\CurrentVersion\run\Explore si HKCU\DeathTime; prezenta fisierelor HAwa.pif si explore.exe in directorul Windows System; copii ale virusului (cu numele listate in sectiunea urmatoare) in directorul Windows System. Descriere tehnica: Acest virus este scris in Visual Basic si comprimat cu UPX. Dupa executare, se copiaza sub numele HAwa.pif si creeaza componentele virale smtp.ocx (comanda SMTP ActiveX utilizata pentru a trimite mesaje de e-mail; aceasta componenta este inregistrata prin regsvr32) si executabilul explore.exe. Este creata urmatoarea cheie de registri pentru a rula virusul la fiecare start-up: HKLM\Software\Microsoft\Windows\ CurrentVersion\run\Explore. Pentru executabil, sunt setate atributele read-only, hidden si de sistem. Se creeaza un fisier gol 0.mpeg care se va deschide ulterior (de obicei cu Media Player); acesta este probabil destinat sa ii faca pe utilizatori sa creada ca au descarcat de fapt un fisier multimedia (corupt). Virusul creeaza copii ale sale in directorul Windows System sub nume cum ar fi: Hot_Show.pif; Short_vClip.pif; Broke_ass.pif; Beauty_VS_Your_FaCe.pif; Endless_life.pif; Hearts_translator.pif; Shakiraz_Big_ass.pif; Sweet_but_smilly.pif; Lo0o0o0o0oL.pif; Gurls_Secrets.pif; Tedious_SeX.pif; Leaders_Scandals.pif; HaWawi_N_Hawaii.pif; Come_2_Cum.pif; Tears_of_Happiness.pif; White_AmeRica.pif; Famous_PpL_N_Bad_Setuations.pif; XxX_Mpegs_Downloader.pif; Teenz_Raper.pif; Real_Magic.pif; The_Truth_of_Love.pif; unfaithful_Gurls.pif; How_to_improve_ur_love.pif; AniMaL_N_Burning_Ladies.pif; Aint_it_Funny.pif; ToolAv01w32.pif. Virusul cauta adrese de e-mail in fisiere cu extensii .txt, .html, .dbx files si in cache de Internet Explorer. Formatul mesajelor trimise este ales dintre urmatoarele combinatii de subiecte si corpuri de mesaje (atasamentul este unul dintre fisierele mentionate mai sus). Virusul va incerca sa se copieze si in directorul partajat KaZaA in cazul in care aceasta aplicatie este deja instalata, folosind numele din lista de mai sus. In acest fel, alti utilizatori KaZaA ar putea sa-l descarce de la utilizatorul infectat. Cheia de registri HKCU\DeathTime este pornita cu valoarea "0" cand virusul este instalat; de fiecare data cand se ruleaza virusul (la restartarea sistemului), valoarea cheii de registri este marita; cand ajunge la "30", virusul incearca sa stearga toate fisierele de tip .exe, .jpg, .doc, .pps, .ram, .zip si afiseaza anumite mesaje. In cele din urma virusul va inchide Windows; va trebui sa reinstalati sistemul de operare si toate aplicatiile existente. Dezinfectie manuala: Folositi comenzile regedit pentru a sterge cheia de registri HKLM\Software\Microsoft\Windows\ CurrentVersion\run\Explore; restartati Windows si stergeti componentele virusului si copiile sale (listate in sectiunile de mai sus). Pentru dezinfectie, stergeti si cheia de registri HKCU\DeathTime; de asemenea puteti rula "regsvr32/u smtp.ocx" si sterge smtp.ocx. Nota: Virusii din aceasta rubrica pot fi eliminati cu antivirusul BitDefender, produs de compania Softwin.