Вирус удаленного управления распространяется

Червь Maniccum в первую очередь пытается заразить выбранные компьютеры через службы обмена мгновенными сообщениями MSN Messenger.

Maniccum имеет несколько функций, которые помогают злоумышленникам управлять червем через IRC с помощью различных команд. С помощью червя они могут получить доступ к файлам, хранящимся на зараженном компьютере, запустить HTTP-сервер и инициировать атаки типа «отказ в обслуживании» (DoS). Кроме того, червя можно контролировать, обновлять и удалять из систем.

Дополнительная угроза Maniccum заключается в том, что он парализует некоторые приложения безопасности, работающие на компьютерах, и предотвращает автоматический запуск антивирусного программного обеспечения.

При запуске Maniccum он выполняет следующие действия:

1. Скопируйте себя в системный каталог Windows как [случайные символы].exe.

2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices
добавляет к вашим ключам
«mxb2» = «[случайные символы].exe».

3. Удаляет из регистрационной базы следующие записи:
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
"ccApp"
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«КАВ50»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«МакАфи Гардиан»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«McAfee.InstantUpdate.Monitor»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«КАВПерсонал50»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«avg7_emc»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
«avg7_cc»
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
"нод32куи"
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\Run
"БДОЭСРВ"

4. Измените регистрационную базу данных.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
\Параметры\FirewallPolicy\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Брандмауэр Windows
\ДоменПрофиле
включен в ключ
«Включить брандмауэр» = «0».

5. Закрывает окна со следующими словами в строке заголовка:
NORTON
VIRUS
FIREWALL
SCAN
БЕЗОПАСНОСТЬ
NETSTAT
ДИСПЕТЧЕР ЗАДАЧ WINDOWS
АНАЛИЗАТОР ЭФИРНОЙ СЕТИ
РЕДАКТОР РЕЕСТРА
УТИЛИТА КОНФИГУРАЦИИ СИСТЕМЫ

6. Подключается к IRC-серверу через TCP-порт 5190 и ожидает команд от злоумышленников, которые могут выполнить следующие действия:
– доступ к локальным файлам
— создание библиотек
— обновление червя
– Запустить HTTP-сервер
– Инициирование DoS-атак.
— удаление червей.