Другие модификации: .a, .c
Поведение: IM-Worm, червь для интернет-пейджеров
Платформа: Win32
Технические детали
Червь, распространяющийся через Интернет при помощи систем обмена мгновенными сообщениями. Программа является приложением Windows (PE EXE-файл). Имеет размер 57344 байта. Написана на Visual Basic.
Инсталляция
После запуска червь копирует свое тело в различные каталоги под следующими именами:
%System%/Fun.exe
%WinDir%/dc.exe
%WinDir%/SVIQ.EXE
%WinDir%/inf/Other.exe
%System%/WinSit.exe
%System%/config/Win.exe
%WinDir%/Help/Other.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"dc2k5" = "%WinDir%//SVIQ.EXE"
"Fun" = "%System%//Fun.exe"
"dc" = "%WinDir%//dc.exe"
Деструктивная активность
Червь пытается скачать файлы "ND.txt" и "NWB.txt", расположенные по следующим адресам:
http://dung*****googlepages.com/ND.txt
http://dung*****googlepages.com/NWB.txt
На момент создания описания данные ссылки не работали.
Кроме того, червь рассылает ссылки на свой исполняемый файл при помощи программы "Yahoo! Messenger".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить записи в ключе системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"dc2k5" = "%WinDir%//SVIQ.EXE"
"Fun" = "%System%//Fun.exe"
"dc" = "%WinDir%//dc.exe"
- Перезагрузить компьютер.
- Удалить файлы, созданные червем:
%System%/Fun.exe
%WinDir%/dc.exe
%WinDir%/SVIQ.EXE
%WinDir%/inf/Other.exe
%System%/WinSit.exe
%System%/config/Win.exe
%WinDir%/Help/Other.exe
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|