Технические детали
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 198144 байта. Написан на Visual Basic.
Инсталляция
После запуска червь создает копию своего тела под именем:
%USERPROFILE%/rnd.exe
где rnd – случайная последовательность латинских букв (например: "gzgim"). Для файла устанавливаются атрибуты "скрытый" (hidden) и "системный" (system).
Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd" = "%USERPROFILE%/rnd.exe /x"
Распространение
Червь создает копии своего тела на всех доступных для записи съемных дисках под случайным именем:
имя зараженного диска:/rnd.exe
Вместе с исполняемым файлом червя помещается файл:
имя зараженного диска:/autorun.inf
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Также на зараженном диске создаются следующие файлы:
имя зараженного диска:/Video.lnk
имя зараженного диска:/Pictures.lnk
имя зараженного диска:/New Folder.lnk
имя зараженного диска:/Documents.lnk
имя зараженного диска:/Music.lnk
имя зараженного диска:/Passwords.lnk
имя зараженного диска:/rnd2.ico
Все ярлыки указывают на исполняемый файл червя:
имя зараженного диска:/rndx.exe
Деструктивная активность
Червь загружает из сети Интернет файл с одного из следующих хостов:
ns1.pla***53.com
ns1.vid***ll.net
ns1.me***res.org
Загруженный файл сохраняется в каталоге профиля текущего пользователя под произвольным именем:
%USERPROFILE%/rnd3.exe
На момент создания описания загружался файл размером 346064 байта, который детектируется Антивирусом Касперского как Trojan.Win32.TDSS.bzhp. После успешной загрузки файл запускается на выполнение.
Также троянец изменяет ключ реестра, который отключает отображение скрытых файлов Проводником Windows:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden" = "0"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
- Удалить ключ системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"rnd" = "%USERPROFILE%/rnd.exe"
- При необходимости восстановить значение ключа системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"ShowSuperHidden" = "1"
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%USERPROFILE%/rnd.exe
%USERPROFILE%/rnd3.exe
имя зараженного диска:/rnd.exe
имя зараженного диска:/rndx.exe
имя зараженного диска:/autorun.inf
имя зараженного диска:/Video.lnk
имя зараженного диска:/Pictures.lnk
имя зараженного диска:/New Folder.lnk
имя зараженного диска:/Documents.lnk
имя зараженного диска:/Music.lnk
имя зараженного диска:/Passwords.lnk
имя зараженного диска:/rnd2.ico
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
