• 解决是名称为一个组很小,可下载*公用事业设计用于去除和撤消所作的改变某些病毒、特洛伊木马和蠕虫。

    他们终止任何病毒的流程和重置任何注册键的病毒变化。 现有的感染可以清理迅速和容易,无论是在各个工作站和网络,有很大数量的计算机。

    W32/Apribot-C是因诺琴蒂研究中心virus与传播的能力。

    每次蜗运行尝试连接的远程中心的服务器并加入一个特定的通道。 后门组件随后运行的背景,作为一个服务器过程中,听命令来执行。 受感染的计算机可以用来执行若干功能:W32/Apribot-C是因诺琴蒂研究中心virus与传播的能力。

    每次蜗运行尝试连接的远程中心的服务器并加入一个特定的通道。 后门组件随后运行的背景,作为一个服务器过程中,听命令来执行。 受感染的计算机可以用来执行任何的以下职能:

    代理服务器(SOCKS4)

    FTP服务器

    SMTP server

    文件系统操纵

    港口的扫描仪

    DDoS洪水(TCP,UDP,SYN)

    远程外壳(RLOGIN)

    按键记录器

    当第一次运行蠕虫副本本身的Windows系统上的文件夹在一个随机产生的名字。 该副本可能有一些随机的数据附后。 为了复制的运行在启动时,登记册条目下创建的随机的名字在下列地点:

    HKLMSoftwareMicrosoftWindowsCurrentversionrun

    HKLMSoftwareMicrosoftWindowsCurrentversionrunservices

    HKCUSoftwareMicrosoftWindowsCurrentversionrun

    蜗选择一个或两个以下的串形式的文件:

    SERV

    磁盘

    STAT

    负载

    INI

    扫描

    INIT

    SRV

    DSK

    CONF

    CFG

    MON

    DLL

    CHK

    REG

    DRV

    赢得

    SYS

    Stat

    负载

    扫描

    Init

    服务

    磁盘

    Config

    监视器

    检查

    Reg

    驱动器

    赢得

    系统

    以下条目还创建:

    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    壳="Explorer.exe,[文件]-壳"

    许多额外的注册条目可以创造、修改或删除。 特别是,许多项目是建立在以下注册的地点:

    HKCUSoftwareMicrosoftWindowsCurrentversionpoliciesexplorer

    DisallowRun

    HKCUSoftwareMicrosoftWindowsCurrentversionpoliciessystem

    DisableRegistryTools

    HKLMSOFTWAREMicrosoftConnect

    将下列条目设置:

    HKLMSYSTEMControlSet001ControlLsarestrictanonymous=1

    HKLMSYSTEMCurrentControlSetControllsarestrictanonymous=1

    W32/Apribot-C还可以试图禁止在调试和防火墙的软件。

    蜗杆将若干行为主人的文件,发现在driversetc子文件夹的Windows系统上的文件夹。 每个线组成的一个随机选择的IP地址开头的"127"以及网址。 蜗杆将这些数据,以便防止进入一些抗病毒和微软网站。

    W32/Apribot-C可以从窗户计算机自动与下解决的工具:

    APRIBGUI是一个消毒剂用于独立的Windows的计算机。 使用它,你必须做到以下几点:

    ■打开APRIBGUI.com 文件从你桌面上之后,下载。

    ■击开始扫描按钮。

    ■等待的过程来完成。

    APRIBSFX.EXE 是自解压的归档含APRIBCLI,解决命令行消毒器上使用的Windows的网络。

  • को हल करने के लिए नाम है का एक सेट, डाउनलोड Sophos उपयोगिताओं के लिए बनाया गया हटाने और पूर्ववत द्वारा किए गए परिवर्तनों कुछ वायरस, Trojans और कीड़े.

    वे समाप्त कर किसी भी वायरस प्रक्रियाओं और रीसेट किसी भी रजिस्ट्री कुंजियों है कि वायरस को बदल दिया है । मौजूदा संक्रमण साफ किया जा सकता है जल्दी और आसानी से, दोनों पर अलग-अलग कार्यस्थानों और नेटवर्क की बड़ी संख्या के साथ कंप्यूटर.

    W32/Apribot-सी एक आईआरसी पिछले दरवाजे के प्रसार की क्षमता है ।

    हर बार कीड़ा है इसे चलाने की कोशिश करता है करने के लिए कनेक्ट करने के लिए एक दूरस्थ आईआरसी सर्वर के साथ जुड़ें और एक विशिष्ट चैनल है । Backdoor घटक है, तो पृष्ठभूमि में चलाता है के रूप में एक सर्वर की प्रक्रिया, के लिए सुनने के आदेशों पर अमल करने के लिए है । संक्रमित कंप्यूटर में इस्तेमाल किया जा सकता प्रदर्शन करने के लिए कई कार्य: W32/Apribot-सी एक आईआरसी पिछले दरवाजे के प्रसार की क्षमता है ।

    हर बार कीड़ा है इसे चलाने की कोशिश करता है करने के लिए कनेक्ट करने के लिए एक दूरस्थ आईआरसी सर्वर के साथ जुड़ें और एक विशिष्ट चैनल है । Backdoor घटक है, तो पृष्ठभूमि में चलाता है के रूप में एक सर्वर की प्रक्रिया, के लिए सुनने के आदेशों पर अमल करने के लिए है । संक्रमित कंप्यूटर में इस्तेमाल किया जा सकता प्रदर्शन करने के लिए निम्न में से कोई कार्य:

    प्रॉक्सी सर्वर (SOCKS4)

    FTP सर्वर

    SMTP सर्वर

    फ़ाइल प्रणाली में गड़बड़ी

    पोर्ट स्कैनर

    DDoS बाढ़ (टीसीपी,यूडीपी,SYN)

    दूरस्थ शेल (RLOGIN)

    कुंजी लकड़हारा

    जब पहली बार चलाने के लिए worm प्रतियां ही करने के लिए Windows सिस्टम फ़ोल्डर के अंतर्गत एक बेतरतीब ढंग से उत्पन्न नाम है । प्रतिलिपि हो सकता है कुछ यादृच्छिक डेटा संलग्न करने के लिए । के लिए आदेश में कॉपी किया जा करने के लिए पर चलाने के लिए, स्टार्टअप रजिस्ट्री प्रविष्टियों के तहत बनाई गई हैं यादृच्छिक नाम निम्न स्थानों में:

    HKLMSoftwareMicrosoftWindowsCurrentversionrun

    HKLMSoftwareMicrosoftWindowsCurrentversionrunservices

    HKCUSoftwareMicrosoftWindowsCurrentversionrun

    कीड़ा चुनता है से एक या दो का पालन करने के लिए तार के रूप में नाम:

    सर्व

    डिस्क

    स्टेट

    लोड

    INI

    स्कैन

    INIT

    SRV

    DSK

    CONF

    CFG

    सोम

    DLL

    VXD

    CHK

    REG

    DRV

    जीत

    SYS

    स्टेट

    लोड

    स्कैन

    Init

    सेवा

    डिस्क

    Config

    मॉनिटर

    की जाँच करें

    Reg

    ड्राइव

    जीत

    प्रणाली

    निम्न प्रविष्टि भी बनाया जाता है:

    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    शैल = "Explorer.exe,[नाम] -shell"

    कई अतिरिक्त रजिस्ट्री प्रविष्टियों को बनाया जा सकता है, बदल गया है या हटा दिया. विशेष रूप से, कई प्रविष्टियाँ बनाई गई हैं में निम्न रजिस्ट्री स्थानों:

    HKCUSoftwareMicrosoftWindowsCurrentversionpoliciesexplorer

    DisallowRun

    HKCUSoftwareMicrosoftWindowsCurrentversionpoliciessystem

    DisableRegistryTools

    HKLMSOFTWAREMicrosoftConnect

    निम्न प्रविष्टियों सेट कर रहे हैं:

    HKLMSYSTEMControlSet001ControlLsarestrictanonymous = 1

    HKLMSYSTEMCurrentControlSetControllsarestrictanonymous = 1

    W32/Apribot-सी भी प्रयास को निष्क्रिय करने के लिए डिबगिंग और फ़ायरवॉल सॉफ़्टवेयर ।

    कीड़ा appends कई लाइनों के लिए मेजबान फ़ाइल में पाया driversetc सबफ़ोल्डर के Windows सिस्टम फ़ोल्डर में । प्रत्येक पंक्ति के होते हैं एक बेतरतीब ढंग से चुनी आईपी पते के साथ शुरुआत की "127" और एक वेब पता है. कीड़ा appends इस क्रम में डेटा उपयोग को रोकने के लिए के एक नंबर के लिए एंटी-वायरस और Microsoft वेब साइटों.

    W32/Apribot-सी से हटाया जा सकता है Windows कंप्यूटर के साथ स्वचालित रूप से निम्नलिखित को हल उपकरण:

    APRIBGUI एक disinfector के लिए स्टैंडअलोन Windows कंप्यूटर है । यह उपयोग करने के लिए आप निम्न करने के लिए:

    ■ खुला APRIBGUI.com फ़ाइल को अपने डेस्कटॉप से इसे डाउनलोड करने के बाद.

    ■ पर क्लिक करें स्कैन शुरू बटन.

    ■ प्रक्रिया के लिए प्रतीक्षा करें पूरा करने के लिए ।

    APRIBSFX.EXE एक self-extracting संग्रह युक्त APRIBCLI, एक को हल कमांड लाइन disinfector पर उपयोग के लिए Windows नेटवर्क है ।

  • Resolve is the name for a set of small, downloadable Sophos utilities designed to remove and undo the changes made by certain viruses, Trojans and worms.

    They terminate any virus processes and reset any registry keys that the virus changed. Existing infections can be cleaned up quickly and easily, both on individual workstations and over networks with large numbers of computers.

    W32/Apribot-C is an IRC backdoor with spreading capability.

    Each time the worm is run it tries to connect to a remote IRC server and join a specific channel. The backdoor component then runs in the background as a server process, listening for commands to execute. The infected computer can be used to perform several functions: W32/Apribot-C is an IRC backdoor with spreading capability.

    Each time the worm is run it tries to connect to a remote IRC server and join a specific channel. The backdoor component then runs in the background as a server process, listening for commands to execute. The infected computer can be used to perform any of the following functions:

    Proxy server (SOCKS4)

    FTP server

    SMTP server

    File system Manipulation

    Port scanner

    DDoS floods (TCP,UDP,SYN)

    Remote shell (RLOGIN)

    Key logger

    When first run the worm copies itself to the Windows System folder under a randomly generated name. The copy may have some random data appended to it. In order for the copy to be run on startup, registry entries are created under random names in the following locations:

    HKLMSoftwareMicrosoftWindowsCurrentVersionRun

    HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

    HKCUSoftwareMicrosoftWindowsCurrentVersionRun

    The worm chooses from one or two of the following strings to form the filename:

    SERV

    DISK

    STAT

    LOAD

    INI

    SCAN

    INIT

    SRV

    DSK

    CONF

    CFG

    MON

    DLL

    VXD

    CHK

    REG

    DRV

    WIN

    SYS

    Stat

    Load

    Scan

    Init

    Service

    Disk

    Config

    Monitor

    Check

    Reg

    Drive

    Win

    System

    The following entry is also created:

    HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

    Shell = "Explorer.exe,[filename] -shell"

    Many additional registry entries may be created, changed or deleted. In particular, many entries are created in the following registry locations:

    HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

    DisallowRun

    HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

    DisableRegistryTools

    HKLMSOFTWAREMicrosoftConnect

    The following entries are set:

    HKLMSYSTEMControlSet001ControlLsarestrictanonymous = 1

    HKLMSYSTEMCurrentControlSetControlLsarestrictanonymous = 1

    W32/Apribot-C may also attempt to disable debugging and firewall software.

    The worm appends several lines to the HOSTS file, found in the driversetc subfolder of the Windows System folder. Each line consists of a randomly chosen IP address beginning with "127" and a web address. The worm appends this data in order to prevent access to a number of anti-virus and Microsoft web sites.

    W32/Apribot-C can be removed from Windows computers automatically with the following Resolve tools:

    APRIBGUI is a disinfector for standalone Windows computers. To use it you have to do the following:

    ■ Open APRIBGUI.com file from your desktop after downloading it.

    ■ Click on the Start Scan Button.

    ■ Wait for the process to complete.

    APRIBSFX.EXE is a self-extracting archive containing APRIBCLI, a Resolve command line disinfector for use on Windows networks.