W32.Notong.A

Описание:
Вирус для платформы Windows. Заражает исполняемые файлы с расширением ".exe" на всех дисках, отключает процессы, принадлежащие ряду приложений защищающие ПК от вирусов, загружает дополнительный код с веб-сайта атакующего.

Тип вредоносной программы:
Вирус

ОС подверженные заражению:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Уровень опасности:
низкий

Размер:
20.108 байт

Технические детали:
При запуске из инфицированного файла вирус копирует себя под именем iii.exe в директорию для временных файлов (далее %Temp%). Затем этот файл запускается и копирует себя как "%ProgramFiles%\Windows NT\system\wdfmgr.exe". (Примечание: %ProgramFiles% - директория для установки приложений по умолчанию, обычно "C:\Program Files").

Создает в реестре запись, обеспечивающую автозапуск при каждом старте системы:
* HKEY_LOCAL_MACHINE\ SoftWare\ Microsoft\ Windows\ CurrentVersion\ Run\ "TBMExe" = "%ProgramFiles%\ Windows NT\ system\ wdfmgr.exe"

Затем ищет на всех дисках (от C: до Z:) файлы с расширением ".exe" и заражает их.

Проверяет на наличие в памяти процессов, относящихся к защитным приложениям, и завершает эти процессы. Список процессов:
* 360Safe.exe
* 360rpt.exe
* 360tray.exe
* ACKWIN32.EXE
* ANTI-TROJAN.EXE
* APVXDWIN.EXE
* AUTODOWN.EXE
* AVCONSOL.EXE
* AVE32.EXE
* AVGCTRL.EXE
* AVKSERV.EXE
* AVNT.EXE
* AVP.EXE
* AVP32.EXE
* AVPCC.EXE
* AVPDOS32.EXE
* AVPM.EXE
* AVPTC32.EXE
* AVPUPD.EXE
* AVSCHED32.EXE
* AVWIN95.EXE
* AVWUPD32.EXE
* BLACKD.EXE
* BLACKICE.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* CLAW95.EXE
* CLAW95CF.EXE
* CLEANER.EXE
* CLEANER3.EXE
* DVP95.EXE
* DVP95_0.EXE
* ECENGINE.EXE
* EGHOST.EXE
* ESAFE.EXE
* EXPWATCH.EXE
* F-AGNT95.EXE
* F-PROT.EXE
* F-PROT95.EXE
* F-STOPW.EXE
* FESCUE.EXE
* FINDVIRU.EXE
* FP-WIN.EXE
* FPROT.EXE
* FRW.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* IBMASN.EXE
* IBMAVSP.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IFACE.EXE
* IOMON98.EXE
* Iparmor.exe
* JEDI.EXE
* KAV32.exe
* KAVPFW.EXE
* KAVSvcUI.exe
* KAVsvc.exe
* KAVsvcUI.exe
* KVFW.EXE
* KVMonXP.exe
* KVMonXP.kxp
* KVSrvXP.exe
* KVsrvXP.exe
* KVwsc.exe
* KWatchUI.EXE
* KvXP.kxp
* LOCKDOWN2000.EXE
* LOOKOUT.EXE
* LUALL.EXE
* Logo1_.exe
* MAILMON.EXE
* MOOLIVE.EXE
* MPFTRAY.EXE
* N32SCANW.EXE
* NAVAPW32.EXE
* NAVLU32.EXE
* NAVNT.EXE
* NAVW32.EXE
* NAVWNT.EXE
* NISUM.EXE
* NMAIN.EXE
* NMain.exe
* NORMIST.EXE
* NUPGRADE.EXE
* NVC95.EXE
* Navapsvc.exe
* Navapw32.exe
* PAVCL.EXE
* PAVSCHED.EXE
* PAVW.EXE
* PCCWIN98.EXE
* PCFWALLICON.EXE
* PERSFW.EXE
* PFW.EXE
* PFW.exe
* RAV7.EXE
* RAV7WIN.EXE
* RAVmon.exe
* RAVmonD.exe
* RAVtimer.exe
* Rav.exe
* RavMon.exe
* Ravtimer.exe
* Rising.exe
* SAFEWEB.EXE
* SCAN32.EXE
* SCAN95.EXE
* SCANPM.EXE
* SCRSCAN.EXE
* SERV95.EXE
* SMC.EXE
* SPHINX.EXE
* SWEEP95.EXE
* TBSCAN.EXE
* TCA.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* THGUARD.EXE
* TrojanHunter.exe
* VET95.EXE
* VETTRAY.EXE
* VSCAN40.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSSTAT.EXE
* WEBSCANX.EXE
* WFINDV32.EXE
* ZONEALARM.EXE
* _AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* navw32.EXE
* rav.exe
* rising.exe
* safeboxTray.exe

Загружает с веб-сайтов ряд файлов:
* [http://]ok.nowkiss.cn/tongji/coun[???]
* [http://]ok.nowkiss.cn/images/inc[???]
* [http://]222.73.45.33/tongji/tongj[???]


Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.