Технические детали
Червь, выполняющий деструктивные действия на компьютере пользователя Программа является сценарием языка Visual Basic Script. Имеет размер 6124 байта.
Инсталляция
Червь создает копию своего тела под следующим именем:
%ProgramFiles%/Съемный диск/usb.wsf
Для автоматического запуска при следующем старте системы червь добавляет запись в ключ автозапуска системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"Съемный диск"="%System%/wscript.exe %ProgramFiles%/Съемный диск/usb.wsf /Job:Work"
Распространение
Червь создает копии своего тела на всех доступных для записи съемных дисках под именем:
имя зараженного диска:/usb.wsf
Вместе с исполняемым файлом червя помещается файл:
имя зараженного диска:/autorun.inf
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только для чтения" (read only).
Деструктивная активность
При подключении съемного диска к зараженному компьютеру, червь проверяет наличие файла "autorun.inf", и если такой файл существует, то червь удаляет его, а вместо удаленного файла создает свой.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи "Диспетчера задач" завершить вредоносный процесс.
- Удалить ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"Съемный диск"="%System%/wscript.exe %ProgramFiles%/Съемный диск/usb.wsf /Job:Work"
- Удалить файлы:
имя зараженного диска:/usb.wsf
имя зараженного диска:/autorun.inf
%ProgramFiles%/Съемный диск/usb.wsf
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|