Назад

Worm

 

 

 

 

 

 

 

 

 

 

Есть вирусные программы, которые распространяются через общие папки компьютеров в сети и забрасывают свои копии на все имеющиеся логические диски компьютера. Условием заряжения является безусловный запуск такой программы.
К ним относится вредоносная программа Worm. Её основные особенности: это программа под “Windows”, написанная как правило на “Viual Basic” и организующая свой запуск через ссылку в автозапуске системного реестра.
Делает копии своего тела в исполняемые файлы "fonts.exe" и "tskmgr.exe", которые располагает в в каталоге шрифтов Windows.
Копии вируса можно встретить в папках системного реестра под именами: HelpHost.com, Global.exe, microsoft.hlp, rndll32.pif, regedit.exe, tskmgr.exe, svchost.exe, system.exe, KEYBOARD.exe, HelpHost.com. Это делается путем замещения оригинальных версий, создание файлов автозапуска или путем присваивания программ запуска по умолчанию для выбранных расширений.
Так, в качестве обработчика файла с расширением “.reg” может вписаться ссылка на запуск Worm вируса с именем “Global.exe”.
Может также заменить на свой файл обработку вызовов системных утилит: настройки системы - «msconfig», переключение языка «ctfmon» и диспетчера задач.
Worm вписывает ссылки на запуск своей копии «MS-DOS.com» в файлы автозапуска логических дисков – «autorun.inf»
При лечение такого вируса надо удалять все перечисленные копии вируса Worm, файлы автозапуска дисков, делать перенастройку ключей реестра.
Конечно, проще в таких ситуациях возвращать из архива сохраненные состояния реестра или всей системы.
Общая борьба администратора сети с подобными вирусами сводится к запрету всех общих папок на компьютерах пользователей и выделение их только в отдельных, особо охраняемых антивирусами местах.

 

 


 

Назад

 

 

 

 

 

 

 

 

 

 

 

Copyright © blockfer.ru