Новый вирус заражает исполняемые файлы и ворует пароли // 25 Января 2013

Компания "Доктор Веб" обнаружила новый вирус, который заражает исполняемые файлы и ворует пароли. В настоящее время в Сети распространилось несколько его модификаций.

Червь Win32.HLLW.Gavir написан на языке Delphi и работает в среде Windows 9x/NT/2000/XP. Попав на компьютер, он сканирует локальные и сетевые диски, ресурсы общего доступа и прописывает себя во все исполняемые файлы. Затем он ищет в локальной сети активные машины и пробует подключиться к ним как администратор с пустым паролем или же с правами текущего пользователя. В случае успеха червь создаeт на такой машине свою копию и удалeнно запускает еe. Вирус прописывается в автозагрузку, модифицируя системный реестр.

Червь создаeт на диске библиотеку viDll.dll и внедряет еe в процесс iexplore.exe или explorer.exe. Затем с разных адресов в Сети (в зависимости от модификации червя) закачивается несколько вариантов программы Trojan.PWS.Lineage, предназначенной для кражи паролей. На заражeнных дисках создаются файлы desktop.ini, где прописывается дата последнего заражения. Если заражeнный исполняемый файл запускается, то червь удаляет себя из его тела.

Источник: Компьюлента