Статьи
Сетевой червь «Win32.HLLW.Shadow.based является одним из самых опасных сетевых червей. Его отличительной
особенностью является то, что он внедряется в операционную систему, используя различные способы, такие как съемные
носители и сетевые диски при автозапуске «Windows», Вредноносный файл, который создается антивирусом, носит
название RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. При этом вирус присваивает имя, которое имеет
«Корзина» для удаленных файлов, что способствует его незаметности.
Второй способ распространения данного вируса по сети – это распространение в сети Интернет с применением протокола
SMB. Вирус самостоятельно может подбирать различные значения пароля, используя удаленный доступ к компьютеру, и в
случае подбора пароля копирует себя в системную папку, а затем, через некоторые интервалы времени дает задание
на запуск.
Третий способ распространения данного вируса – это использование уязвимости. При отправлении червя на компьютер,
переполняется буфер ПК. Таким образом, компьютер может производить загрузку вируса и по протоколу HTTP.
Сразу после того, как вирус Win32.HLLW.Shadow.based запускает себя, он осуществляет внедрение своего кода в системные
процессы svchost.exe, а также explorer.exe. Созданием в проводнике папки, вирус завершает свою миссию. Кроме того,
вирус может создать и собственную копию с случайным именем.
После прописывания своей копии в качестве службы «Windows», червь останавливает службу обновления «Windows».
Далее вирус стремительно распространяется по всей сети.
Одной из самых больших проблем в удалении и лечении вируса является то, что Win32.HLLW.Shadow.based внедряет свой
код в функции DNS на компьютере. Включая компьютер, пользователь замечает, что доступ к многим сайтам на
компьютере блокируется.
Одной из главных задач данного вируса – это создание и структурирование бот – сети при помощи, которых данный вирус
может устанавливать и запускать различные программы на компьютере пользователя. Многие киберпреступники
целенаправленно разрабатывают бот – сети на продажу, что приносит им значительную прибыль.
Для лечения данного вируса необходимо установить патчи в информационных бюллетенях «Microsoft» MS08-067, MS08-068,
MS09-001. Обязательно необходимо отсоединиться от сети Интернет. В том случае, если компьютеры находятся в
локальной сети, то сначала нужно излечить ВСЕ компьютеры, которые находятся в локальной сети и потом подключать
вылеченный компьютер к сети. После этого, необходимо воспользоваться надежной антивирусной программой (один из
самых надежных антивирусов – это Kaspersky или NOD).
Для максимальной защиты от вируса Win32.HLLW.Shadow.based необходимо использовать антивирусные программы со
встроенными антируткит – модулями, для того, чтобы излечивать максимальное количество фалов и веток реестра.
Чтобы удалить вирус Win32.HLLW.Shadow.based необходимо ОБЯЗАТЕЛЬНО загрузить ОС Windows в безопасном режиме,
затем воспользоваться надежным антивирусом с антируткит модулями и применить действие «Лечить». После чего следует
восстановить реестр из резервной копии.