1. Навіщо мучитися?

Пошук по комп'ютерним статей

Мережевий черв'як «Win32.HLLW.Shadow.based є одним з найнебезпечніших мережевих черв'яків. Його відмінною рисою є те, що він впроваджується в операційну систему, використовуючи різні способи, такі як знімні носії і мережеві диски при автозапуску «Windows», Вредноносний файл, який створюється антивірусом, носить назву RECYCLER \ Sxx-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx -xxxx. При цьому вірус присвоює ім'я, яке має «Кошик» для віддалених файлів, що сприяє його непомітності.
Другий спосіб поширення даного вірусу по мережі - це поширення в мережі Інтернет із застосуванням протоколу SMB. Вірус самостійно може підбирати різні значення пароля, використовуючи віддалений доступ до комп'ютера, і в разі підбору пароля копіює себе в системну папку, а потім, через деякі інтервали часу дає завдання на запуск.
Третій спосіб поширення даного вірусу - це використання уразливості. При відправленні хробака на комп'ютер, переповнюється буфер ПК. Таким чином, комп'ютер може робити завантаження вірусу і по протоколу HTTP.
Відразу після того, як вірус Win32.HLLW.Shadow.based запускає себе, він здійснює впровадження свого коду в системні процеси svchost.exe, а також explorer.exe. Створенням в провіднику папки, вірус завершує свою місію. Крім того, вірус може створити і власну копію з випадковим ім'ям.
Після прописування своєї копії в якості служби «Windows», черв'як зупиняє службу оновлення «Windows». Далі вірус стрімко поширюється по всій мережі.
Однією з найбільших проблем в видаленні і лікуванні вірусу є те, що Win32.HLLW.Shadow.based впроваджує свій код в функції DNS на комп'ютері. Включаючи комп'ютер, користувач помічає, що доступ до багатьох сайтів на комп'ютері блокується.
Однією з головних завдань даного вірусу - це створення і структурування бот - мережі за допомогою, яких даний вірус може встановлювати і запускати різні програми на комп'ютері користувача. Багато кіберзлочинці цілеспрямовано розробляють бот - мережі на продаж, що приносить їм значний прибуток.
Для лікування даного вірусу необхідно встановити патчі в інформаційних бюлетенях «Microsoft» MS08-067, MS08-068, MS09-001. Обов'язково необхідно від'єднатися від мережі Інтернет. У тому випадку, якщо комп'ютери перебувають в локальній мережі, то спочатку потрібно вилікувати ВСЕ комп'ютери, які знаходяться в локальній мережі і потім підключати вилікуваний комп'ютер до мережі. Після цього, необхідно скористатися надійної антивірусною програмою (один з найнадійніших антивірусів - це Kaspersky або NOD).
Для максимального захисту від вірусу Win32.HLLW.Shadow.based необхідно використовувати антивірусні програми з вбудованими антіруткит - модулями, для того, щоб виліковувати максимальну кількість фалів і гілок реєстру.
Щоб видалити вірус Win32.HLLW.Shadow.based необхідно ОБОВ'ЯЗКОВО завантажити ОС Windows в безпечному режимі, потім скористатися надійним антивірусом з антіруткит модулями і застосувати дію «Лікувати». Після чого слід відновити реєстр з резервної копії.

Навіщо мучитися?

Можливо, Вас також зацікавлять статті: