Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер: 28 152 байта 17 784 байта
Упакован: UPACK
- При своём запуске создаёт в каталоге файлы %USERPROFILE%\Local Settings\Temp\rundll32.exe - копия исходного файла (28 152 байта) и %USERPROFILE%\Local Settings\Temp\setupx098.exe (17 784 байта).
- Создаёт в системном каталоге динамическую библиотеку %SYSDIR%\msynggj.dll, которую регистрирует в поражённой системе как слубжу:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38184820-1373-6974-2652-279715442647}\InprocServer32\
- Создаёт также следующую ветвь в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\UrlMon
"{38184820-1373-6974-2652-279715442647}"
- Удаляет следующие ветви системного реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ptilink
HKEY_USER\S-1-5-21-861567501-1677128483-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\
- Осуществляет попытки распространения по локальной сети, производя поиск открытых для доступа каталогов.
1. Отсоединить поражённый компьютеры от локальной сети и/или Интернета.
2. Отключить службу Восстановления системы.
3. Скачать с заведома неинфицированного компьютера бесплатную лечащую утилиту Dr.Web CureIt!
4. Перезагрузить поражённіе компьютеры в Безопасный режим (F8 при старте Windows)
5. Просканировать все диски (включая и сетевые). Для найденных объектов применить действие "Лечить".
6. Удалить ветви системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38184820-1373-6974-2652-279715442647}\InprocServer32\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\UrlMon
"{38184820-1373-6974-2652-279715442647}"
