Этот самоисполняющийся червь распространяется, используя новую
«брешь» Microsoft Windows [MS04-011 уязвимость (CAN-2003-0533)]
Вирус копирует себя
в директорию Windows
под именем avserve.exe и создает ключ в
реестре для запуска при загрузке Windows:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun "avserve.exe" =
C:WINDOWSavserve.exe
Вирус сканирует доступные ip-адреса и, в случае успеха,
устанавливается на какой-либо порт, начиная с 1068. Кроме того, он способен
выполнять функции FTP сервера на 5554 TCP порту, а также создает remote shell – сервис на 9996-ом TCP порту.
Вирус создает файл win.log в корневом каталоге
системного диска, где хранит IP адрес, соответствующий localhost. Копии червя сохраняются в
директории Windows System с именами #_up.exe.
Например:
c:WINDOWSsystem3211583_up.exe
c:WINDOWSsystem3216913_up.exe
c:WINDOWSsystem3229739_up.exe
Сторонний эффект от
действия вируса проявляется в сбое в системном процессе LSASS.EXE, что ведет к автоматической
перезагрузке системы, как и в случае с червем «Blaster».
То есть
отображается следующее окно:
Инструкция по удалению
Для устранения уязвимости, которую использует «червь» необходимо
установить официальный патч c сайта Microsoft: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Windows
XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en
Windows
2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en
Ручное удаление:
1. Загрузитесь в режиме Safe Mode (удерживайте F8 после появления текста «Starting Windows». Выберите «Safe Mode».
2. Удалите AVSERVE.EXE из каталога WINDOWS (обычно c:windows или c:winnt)
3. Отредактируйте реестр Windows: Удалите значение "avserve" из HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4. Перезагрузитесь в обычном
режиме.
Miracle
