Exe файлы заражаныя вірусам Ovagur

Вірус Ovagur распаўсюджваецца перш за ўсё праз файлы з пашырэннямі exe і спрабуе заразіць выбраныя кампутары не толькі сам па сабе, але і двума іншымі траянамі.

Вірус Ovagur стварае шэраг файлаў на заражаных кампутарах, а затым змяняе рэестр. Затым ён бесперапынна кантралюе прывад DZ. Калі вы знойдзеце сярод іх здымныя або сеткавыя дыскі, ён паспрабуе заразіць файлы пашырэннем .exe. Між тым, ён хавае ўласныя файлы праз кампанент руткіта.

Акрамя сябе, вірус Ovagur нават усталёўвае Troopprer і траянец Haxdoor.N на кампутары.

Пры запуску віруса Ovagur ён выконвае наступныя дзеянні:

1. Стварыце наступныя файлы:
% Windir% \ ocmsn.old
% Сістэма% \ NvVid.sys
% Сістэма% \ NvVid.exe
% Windir% \ ocmsn.log
% Windir% \ ocgen.log

2. Стварыце наступныя запісы ў базе дадзеных рэгістрацыі:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ N vVideoCenter
HKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ ENUM \ ROOT \ LEGACY_NVVIDEOCENTER

3. База дадзеных рэгістрацыі
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
дадае да вашага ключа
“NvVideoCenter” = “% SYSTEM% \ NvVid.exe”.

4. Выкарыстоўвайце метады руткіта, каб схаваць файлы.

5. Перыядычна правярае дыскі DZ на наяўнасць файлаў з пашырэннем .exe.

6. Калі вы знойдзеце файл з пашырэннем .exe памерам больш за 200 000 байт на здымным або сеткавым дыску, ён заразіць яго.

7. Стварыце наступны файл, які змяшчае траян Dropper:
% Тэмп% \ tmp107.tmp

8. Стварыце наступныя файлы, якія належаць траянцу Haxdoor.N:
% Temp% \ [выпадковыя лікі] .gif
% Сістэма% \ dvb03a.dll
% Сістэма% \ dvb03a.sys
% Сістэма% \ dvb06a.sys
% Сістэма% \ qo.sys
% Сістэма% \ qo.dll.