Поведение
Net-Worm, интернет-червь.
Технические детали
Вирус-червь. Является приложением Windows (PE EXE-файл). Имеет размер 71168 байт. Упакован при помощи UPX, распакованный размер — около 240 КБ.
Инсталляция
При запуске червь создает следующую папку:
%System%ace
Вирус извлекает в свою рабочую папку файл и запускает его на исполнение:
WinTask.exe
Данный файл имеет размер 65586 байт, детектируется антивирусом Касперского как Trojan.Win32.Enfal.d.
С целью автоматического запуска при последующем стартах системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "<путь и имя к исполняемому файлу червя>"
А также устанавливает следующее значение ключа реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
ShowSuperHidden = 0
Деструктивная активность
Червь производит на всех разделах жесткого диска поиск файлов с расширениями:
.rar
.pdf
.rtf
.mdb
.txt
.xls
.ppt
.doc
При нахождении подобных файлов вредоносная программа копирует их в папку «%System%ace emp». Затем извлекает из своего тела утилиту для архивирования файлов:
%System%NtApi.exe
И с ее помощью архивирует содержимое указанной папки. Заархивированные файлы сохраняются в папку:
%System%aceudis
Архивы имеют расширение «.uda» и имена, соответствующие именам папок, в которых были найдены исходные файлы с вышеназванными расширениями.
Распространение
Червь копирует свой исполняемый файл с именем «Netsvcs.exe» в корневые папки всех логических дисков и устанавливает для него атрибуты «Скрытый» и «Системный». Вирус создает в корневых папках разделов файл «autorun.inf», который при открытии разделов в «Проводнике» Windows запускает исполняемый файл червя. Также червь создает файл «thumbs.db» (в том же месте, что и «autorun.inf») и записывает в него свои настройки.
На сьемных дисках червь создает папку с именем:
System Volume Information
И копирует в нее содержимое папки «%System%aceudis», т.е. архивы с найденными на компьютере жертвы документами.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс червя (возможное имя процесса — «Netsvcs.exe»).
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
ShowSuperHidden = 0
- Заменить значение ключа реестра на следующее:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = Explorer.exe
- Удалить файл из рабочей папки червя:
WinTask.exe
- Удалить следующую папку:
%System%ace
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию)
Источник: viruslist.com.
|