- This topic has 0 ответов, 1 участник, and was last updated 12 years, 8 months назад by
.
-
Сообщения
-
Симптомы
1) В папке windowssystem32 периодически осуществляется попытка создания файла вируса с произвольным именем, например *.ru, *.fa, trz[HEX].tmp, HEX – 4 шестнадцатеричные цифры. Microsoft Security Essentials определяет его как Win32/Worm:Conficker.B. Avast винит процесс System c PID=4 в создании этого файла. Попытки создать файл предпринимаются при запуске Проводника.
2) В папка Планировщика заданий windowstasks создается файл задания At1.job. Задача запускает файл, создание которого описано выше в п.1 посредством вызова rundll с параметром имени файла и еще каким-то параметром.
3) Malwarebytes блокирует попытки обращения к сайту 77.222.40.49 процесса svchost или проводника интернета через порт 64170, 64166, 64167.Файлы log.txt и info.txt во вложении.
Содержимое файла At1.job:
2012-11-16T08:00:00
@AtServiceAccount
InteractiveTokenOrPassword
HighestAvailable
rundll32.exe
xvgcsdu.fa,jnmmc
Спасибо!
- Тема ‘Червь Conficker.B’ закрыта для новых сообщений.
