Уязвимые ОС: Win NT-based
Размер: 27 183 байта
Упакован: UPX, BINARYRES
- Может распространяться самостоятельно или быть установленным другими вредоносными программами - загрузчиками или дропперами.
- При запуске создаёт копию своего носителя в C:\Program Files\Internet Explorer\OnlO0r.bak, а также устанавливает в двух экземплярах динамическую бибилиотеку - C:\Program Files\Internet Explorer\OnlO0r.dll и C:\Program Files\Common Files\fjOs0r.dll. Всем установленным файлам присваивается атрибут "Скрытый".
- Регистрирует C:\Program Files\Common Files\fjOs0r.dll как расширение для браузера Internet Explorer - Browser Helper Object (BHO). При запуске Internet Explorer происходит несанкционированное скачивание и скрытая установка Trojan.PWS.Wsgame.1242 в количестве 16 штук.
- Удаляет файл hosts (%Systemroot%\System32\drivers\etc\hosts).
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".