Технические детали
Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла 54408 байт. Не упакован.
Деструктивная активность
Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:
[AUTorUN]
AcTION=開啟資料夾以檢視檔案
icon=%syStEmrOot%/sySTEM32/sHELL32.Dll,4
OpEn=RunDll32.EXE ./RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx,ahaezedrn
sHEllExECUTe=RUNdLl32.ExE ./RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx,ahaezedrn
useAuTopLAY=1
Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:
./RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx
Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на китайском языке в диалоговом окне автозапуска.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
либо выполнить следующие действия:
- Удалить следующие файлы со всех съемных носителей:
X:/autorun.inf
X:/RECYCLER/S-5-3-42-2819952290-8240758988-879315005-3665/jwgkvsq.vmx, где X – буква съемного диска.
- Скачать и установить обновление системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|