Технические детали
Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 45056 байт. Написана на Visual Basic.
Инсталляция
После запуска червь копирует свое тело в следующий файл:
C:/win32napp.exe
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"win32napp" = "c:/win32napp.exe -e"
Деструктивная активность
В процессе своей работы червь в цикле выполняет поиск на локальных дисках компьютера файлов с расширением ".exe". За одну итерацию полного сканирования файловой системы компьютера случайным образом отбираются 10 файлов. Отобранные файлы модифицируются следующим образом: в начало файла записывается тело червя, затем следует строка-разделитель "---DEVILSTILLSMELLSME---", затем – оригинальное содержимое модифицируемого файла.
В ходе запуска зараженного файла сначала выполняется код червя, затем оригинальное содержимое файла сохраняется в рабочем каталоге червя под именем:
%WorkDir%.tmp.exe
и запускается на выполнение.
В процессе своей работы червь может выдавать сообщение:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского произвести полную проверку компьютера с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
