Уязвимые ОС: Win NT-based
Размер: 161,280 байт
Упакован: UPX
- При своём запуске создаёт копии исходного файла:
%systemroot%\system32\svchosl.exe
%systemroot%\system32\explorer.exe
%USERPROFILE%\Start Menu\Programs\Startup\start.exe
- Регистрирует созданные %systemroot%\system32\svchosl.exe и %systemroot%\system32\explorer.exe в секции автозагрузки системного реестра:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
userinit = "C:\WINDOWS\system32\svchosl.exe" - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
explorer = "C:\WINDOWS\system32\explorer.exe" - Отключает системный Диспетчер задач:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr: "1"
- Постоянно находясь в оперативной памяти, отслеживает подключение внешних флеш-носителей и, при обнаружении таковых устанавливает на них копию своего исходного носителя и файл конфигурации autorun.inf.
- Периодически мигает индикаторами Num Lock и Caps Lock.
- Периодически отсылает по сети сообщение "Hi, You are Hacked Mr. ?!!"
- Производит несанкционированную перезагрузку компьютера.
- Обладает деструктивной функцией: удаляет документы пользователя из каталогов
%USERPROFILE%\Desktop
%USERPROFILE%\Startup
%USERPROFILE%\My documents
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер просканировать Dr.Web CureIt!. Для найденных объектов применить действие "Лечить". Также проверить все доступные на момент сканирования флеш-накопители.
4. Включить отображение Диспетчероа задач HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr: "0".
