Win32 hllm generic 440 что это
Доктор Веб: Вирусная активность в январе 2009 года
По оценкам специалистов «Доктор Веб», январь выдался относительно спокойным, если не считать эпидемию сетевого червя Win32.HLLW.Shadow.based.
В январе было зафиксировано активное распространение полиморфного сетевого червя Win32.HLLW.Shadow.based. Этот вирус, при распространении по сети, пытается подобрать пароль к учётной записи администратора компьютера. Пользователям рекомендуется отключить автоматический запуск программ со съёмных дисков, так как Win32.HLLW.Shadow.based для распространения использует и этот популярный способ, эксплуатируемый в настоящее время многими вредоносными программами.
«Доктор Веб» сообщает о появлении нового способа получения денег за платные SMS-сообщения, который стремительно набирает популярность. Этот способ связан с завлечением пользователя различными способами на заранее подготовленный сайт, откуда он должен скачать программу и установить к себе в телефон. Вместо (или, реже, помимо) заявленной функциональности программа начинает несанкционированную отправку платных SMS-сообщений. Предлагаемая для установки программа является вредоносной и определяется Dr.Web как Java.SMSSend.19.
Также остаются популярными программы-шантажисты, выдающие себя за антивирусы. Так, в январе был замечен сайт, на котором предлагалось «проверить» компьютер на вирусы. Абсолютно все компьютеры по результатам работы этого «онлайн-сканера» оказываются заражёнными. После этого пользователям предлагалось скачать якобы антивирусную программу, которая определяется Dr.Web как Trojan.Fakealert.3914.
«Доктор Веб» сообщает о снижении в январе общего количества фишинговых сообщений. Основными целями для злоумышленников, использующих этот тип мошенничества, в прошедшем месяце стали пользователи интернет-магазина amazon.ca и платёжной системы PayPal.
Кроме того, специалисты «Доктор Веб» составили две вирусные двадцатки. В первой таблице представлены вредоносные файлы, обнаруженные в почтовом трафике:
2. Win32.HLLM.MyDoom.based 13479 (17,12%)
3. Trojan.MulDrop.18280 6235 (7,92%)
4. Trojan.MulDrop.13408 4594 (5,84%)
5. Trojan.MulDrop.16727 4357 (5,53%)
6. Win32.HLLM.Alaxala 4022 (5,11%)
8. Win32.HLLM.Beagle 2141 (2,72%)
9. Win32.HLLM.Netsky.35328 1944 (2,47%)
10. Win32.HLLM.Netsky 1698 (2,16%)
11. Trojan.Click.22109 1570 (1,99%)
12. Win32.HLLM.Mailbot 1498 (1,90%)
13. Win32.HLLW.Shadow.3 1405 (1,78%)
14. Win32.HLLM.Perf 1353 (1,72%)
15. Trojan.MulDrop.19648 1252 (1,59%)
16. Win32.HLLM.MyDoom.33 1182 (1,50%)
18. Win32.IRC.Bot.based 769 (0,98%)
20. BackDoor.Dosia.72 619 (0,79%)
Вторая таблица включает вредоносные файлы, обнаруженные в январе на компьютерах пользователей:
1. Win32.HLLW.Gavir.ini 2451656 (19,14%)
2. DDoS.Kardraw 2058062 (16,06%)
3. Win32.HLLM.Generic.440 714503 (5,58%)
4. VBS.Generic.548 453207 (3,54%)
7. Trojan.Recycle 349560 (2,73%)
8. Trojan.Starter.881 303349 (2,37%)
9. Win32.Sector.16 210250 (1,64%)
10. Win32.HLLW.Shadow.based 209118 (1,63%)
11. Win32.HLLM.Lovgate.2 188398 (1,47%)
12. Win32.HLLP.Neshta 174684 (1,36%)
13. Win32.HLLP.Jeefo.36352 169943 (1,33%)
14. Win32.HLLW.Autoruner.2536 159100 (1,24%)
15. VBS.PackFor 138289 (1,08%)
16. Win32.Sector.12 128054 (1,00%)
17. Win32.HLLW.Autoruner.5555 127353 (0,99%)
18. Win32.Sector.5 123027 (0,96%)
Win32.HLLM.Graz
Добавлен в вирусную базу Dr.Web: 2005-12-19
Описание добавлено: 2005-12-23
1. По почте как сообщение с приложенным zip-архивом.
Пример текста сообщения:
You have received Protected Mail from MSN.com user.
This message is addressed personally for you.
To decrypt your message use the following details:
ID: 25747
Password: qeopgelhk
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Mail and instruction is attached.
Best Regards,
Protected Mail System,
MSN.com
К сообщению прилагается zip-архив с одним из следующих имен:
msg.zip
message.zip
data.zip
mail.zip
2. По ICQ.
Следит за трафиком на зараженной машине и получает UIN и пароль.
Получает список контактов для данного UIN.
Пользователям из списка контактов рассылаются сообщения, содержащие ссылку http://popcapfree.t35.com/. На данной странице пользователю предлагается скачать «универсальный генератор ключей для игр PopCap».
Возможный текст сообщения:
PopCap deluxe games absolutely free
you like PopCap deluxe games?Play them free and no limited
PopCap deluxe games without limit
I see your drive C:
you a hacked, look!
this is your local drives?not a joke:))
При запуске вируса он копирует свое тело в системную папку %SystemRoot%\System32 под именем ms. exe и сбрасывает в эту же папку файл ms??32.dll.
Для обеспечения автозапуска своей копии прописывает сброшенный dll-файл в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.
Содержит функцию управления программой WebMoney Keeper.
Блокирует доступ к сайтам, имена которых содержат следующие подстроки:
| fsi | vcatch | feste | norton |
| resplendence | softwin | filseclab | ntivi |
| una | panda | free-av | numentec |
| adware | trojan | freeav | phx.corporate-ir |
| alwil | agnitum | frsirt | secu |
| avg | altn | gdata.de | sina |
| grisoft | antiy | grisoft | skynet |
| bitdef | anvir | iavs | softbase |
| clam | asw | iss | sophos |
| hbedv | atdmt | kasper | spam |
| esafe | atwola | lavasoft | stocona |
| aladdin | avast | mcafee | symantec |
| quickhea | avp | messagel | trendmicro |
| avgate | awaps | microsoft | update |
| tds3 | bitdefender | msn | viru |
| onecare | ca.com | my-etrust | webroot |
| ahnlab | drweb | nai.com | haker |
| vnunet | eset | networkass | spy |
| virdet | vnunet | nod32 | itsafe |
| avinfo | fbi | norman |
Этот же список использует для полного блокирования доступа к сети у приложений по их именам.
Завершает сервисы, удаляет записи о них из реестра, а с диска файлы, имеющие в своем имени подстроки:
| zonealarm | dpf | spfirewallsvc |
| zapro | xfilter | sppfw |
| ca | leviathantrial | kavpf |
| vsmon | looknstop | sspfwtry2 |
| zlclient | mpftray | keypatrol |
| pavfnsvr | netlimiter | s-wall |
| avgcc | npgui | smc |
| fsdfwd | npfsvice | umxtray |
| dfw | npfmsg | persfw |
| fireballdta | npfc | pccpfw |
| fbtray | ccapp | tzpfw |
| goldtach | ccsetmgr | xeon |
| ipcserver | ccevtmgr | bullguard |
| aws | ccproxy | bgnewsui |
| jammer | symlcsvc | fw |
| armorwall | sndsrvc | fwsrv |
| armor2net | opfsvc | |
| iamapp | opf | |
| iamserv | ipatrol | |
| blackd | spfw |
Подобных списков в вирусе несколько, кроме межсетевых экранов в них входит ряд антивирусов, программ обеспечения безопасности (анти-кейлоггеры, анти-трояны и т.д.), мониторинга сетевых соединений и т.д.
ICQ_2006
winamp_5.2
3dsmax_9_(3D_Studio_Max)
ACDSee_9
Adobe_Photoshop_10_(CS3)
Adobe_Premiere_9_(2.0_pro)
Ahead_Nero_8
DivX_7.0
Internet_Explorer_7
Kazaa_4
Microsoft_Office_2006
Longhorn
которые содержат копию вируса в файле websetup.exe
Путем перехвата системных API-функций прячет свой процесс в памяти и файлы на диске.
Рекомендации по восстановлению системы
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).
Удаляю вирус, он опять откуда-то берется. Возможно Bron.tok (заявка № 81864)
Опции темы
Могу выложить файлы, по-моему мнению являющиеся вирусом.
Вот в кратце что он создает:
D:\Windows\BerasJatah.exe
D:\WINDOWS\system32\Администратор’s Setting.scr
D:\Documents and Settings\Администратор\Local Settings\Application Data\
Bron.tok.A14.em.bin
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
Плюс, если лазить проводником, то в каждой папке появляется файл с названием папки.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Последний штрих. Выполните в AVZ скрипт:
Итог лечения
Уважаемый(ая) Pepsi-Man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Win32.HLLM.Limar
Описание добавлено: 2006-08-28
Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Упакован: Upack, UPX
Server Report
Status
Error
Test
Mail Delivery System
Mail server report.
Mail Transaction Failed
Good day
picture
Hello
2. test, body, docs, doc, test, text, readme, file, document, data
Our firewall determined the e-mails containing worm copies are being sent from your computer.
Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
—————————————
Mail transaction failed. Partial message is available.
—————————————
The message contains Unicode characters and has been sent
as a binary attachment.
—————————————
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
—————————————
Dear Sir/Madam,
We have logged a fraud activity from the IP-address belonging to your
computer at more than 17 Web-sites and have received abuses
from several companies.
The abuse copy is sent as an attachment to this letter. Please learn this.
We have added our utilite that would help you to find and remove any spyware from your PC.
If you were not lucky using another software, please try this one.
1. Выводит на экран «Update successfully installed» (при запуске вложения Update-KB[число]-х86).
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).
%WinDir%\serv.exe (148 621 байт)
%WinDir%\serv.s (148 621 байт)
%WinDir%\system32\serv.dll (7 680 байта)
%WinDir%\system32\e1.dll (8 704 байта)
%WinDir%\system32\jgmdmsxm.dll (28 672 байта)
%WinDir%\system32\netacdmo.dll (20 480 байт)
%WinDir%\system32\tsd3rasd.exe (16 384 байта)
%WINDIR%\System32\wupstInt.dll (28672 байт)
%WINDIR%\System32\cssewmpd.exe (16384 байт)
%WINDIR%\System32\regaufat.dll (24576 байт)
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
«serv» = C:\Windows\serv.exe s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
«AppInit_DLLs» = wupstInt.dll e1.dll
Рекомендации по восстановлению системы
1. Отключить «Восстановление системы».
2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
4. Восстановить реестр из резервной копии.
Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).
HEUR:Trojan.Win32.Generic — что за вирус?
Приветствую. Современные угрозы способны отправлять не только ценную инфу с компа юзера к злоумышленнику, но и использовать компьютер юзера в своих целях, например рассылать спам, майнить валюту, подбирать пароли к аккаунтам социальных сетей (взлом).
HEUR:Trojan.Win32.Generic — что это такое?
Тип угрозы троян, который способен отправлять хакеру ваши личные данные: логины/пароли, банковские данные, личные документы.
Также способен загружать другие вирусные компоненты и запускать их.
Обычно под этим названием имеется ввиду угроза, тип которой пока еще точно не определен, но предположительно относится к категории троянов.
HEUR это означает heuristic, скорее всего имеется ввиду что угроза найдена при эвристическом режиме. Что за режим? Интеллектуальный режим поиска угроз, технология анализирует поведение программы, смотрит что и как она делает и делает выводы, насколько поведение похоже на вирусное.
Например так может определить угрозу антивирус Kaspersky Internet Security, которую пока не знает как лечить, либо это вообще ложно срабатывание. При этом обьект может быть помещен в карантин. Сама компания Касперского рекомендует в таком случае:
Данная мини-инструкция применима не только к антивирусу Касперского, но и к другим тоже.
Ручная проверка файла
Вирустотал. Откройте VirusTotal, нажмите Choose file, выберите файл:
После чего он будет проверен десятками антивирусов, среди которых Каспер, NOD, Avast, Comodo и другие. Пример проверки файла — 4 из всех антивирусов заподозрили неладное:
На самом деле по факту — данный файл это моя утилита, которую написал сам, там нет никаких вирусов 200%, но как видите 4 срабатывания ложных. К сожалению это часто встречается, особенно у антивирусов-параноиков, поэтому лучше ориентироваться на известные.
Kaspersky VirusDesk. Аналогичный сервис, но уже от Каспера. Все также — выбираете файл (нажать нужно на скрепку):
После — выбрать файл и нажать кнопку Проверить. Результат появится ниже — смотреть нужно на результат проверки:
Таким образом можно вручную проверить файл, который определяется как HEUR:Trojan.Win32.Generic. Да, конечно если проверяете на Вирустотале, то можно и без Каспера, но для уверенности советую проверить на обоих сайтах.
Дополнительные действия
Обязательно рекомендую проверить ПК на наличие рекламного/шпионского хлама, а также на наличие серьезных вирусов.
При отсутствии нормального антивируса советую установить Kaspersky Free — бесплатная версия, которая отлично находит вирусы, не грузит ПК и нормально обновляет антивирусные базы. Было время — тестировал, глюков и тормозов не заметил, поэтому и советую.