Появился опасный вирус-червь Win32.HLLW.Nulock

Лаборатория Касперского сообщает о появлении нового
опасного вируса-червя — «Win32.HLLW.Nulock». Червь является приложением Win32, написан на Delphi и имеет размер около 300Kb. Вирус инсталлирует себя в систему, остается в памяти Windows как отдельное приложение (имя которого присутствует в списке задач), и затем через некоторые промежутки времени (от 10 до 20 минут) копирует себя на диск A: (если такой есть).

Червь не заражает больше никаких файлов и не распространяет себя никаким более способом.

При копировании себя в систему и на диск A: червь создает для своих копий случайные имена, например:

DOLE.EXE, JFMCQRL.EXE, PLNTGS.EXE, ETZBQVT.EXE, JDESH.EXE, WJPIOR.EXE

При инсталляции в систему червь копирует себя в каталог Windows, при этом копиия червя имеет случайное имя и расширение .DLL, например:

DOLE.DLL, JFMCQRL.DLL, PLNTGS.DLL

Затем червь регистрирует этот файл в системном реестре в секции авто-запуска:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun «NumLock»=»value»

Ключ «value» зависит от имени файла-червя, например:

NumLock = «windirdole.dll»
NumLock = «windirjfmcqrl.dll»
NumLock = «windirplntgs.dll»

где «windir» является именем каталога Windows.

Для того, чтобы Windows запускала DLL-файл червя как обычное приложение, червь создает новый ключ системного реестра:

HKCRdllfileshellopencommand

и записывает в него значение, идентичное значению ключа запуска EXE-файлов:

HKCRexefileshellopencommand

По вторникам в 10:30 червь стирает файлы системного реестра:

USER.DAT, SYSTEM.DAT, USER.DA0, SYSTEM.DA0