Win32.HLLW.Ghost.9732
(Trojan.Vb.AQX (BitDefender), WORM_VB.BDK, Trojan:Win32/VB.AAE (Microsoft), Trojan.Win32.VB.aqx (VBA32), Trojan.Vb.AQX, Generic VB.b, VB.BQF, Trojan.VB-579 (ClamAV), W32/YahLover.worm.gen, TROJ_Generic, Win32/VB.AAE, Generic.ZFQ, Parser error, Trojan.Win32.VB.aqx (Kaspersky), Trojan Horse (Symantec), Generic VB.b (McAfee), Win32/VB.AQX (NOD32v2), Trj/Agent.CEW (Panda), Trojan.Win32.VB.aqx)
Добавлен в вирусную базу Dr.Web:
2007-11-19
Описание добавлено:
2007-11-19
Тип вируса: Червь
Уязвимые ОС: Win NT-based
Размер: 59 392 байта
Упакован: ASPACK
Техническая информация
Написан на Microsoft Visual Basic 6.0.
При своём запуске открывает в Проводнике Windows каталог Мои Документы.
Создаёт в каталоге профиля пользователя копии своего исходного файла:
%USERPROFILE%\Application Data\explorer.exe
%USERPROFILE%\Application Data\lsass.exe
после чего исходный файл завершает свою работу.
Создаёт свои копии в меню "Пуск"с именами Empty.pif и windows.pif для обеспечения своего запуска при каждом старте Windows:
C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif
C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\windows.pif
Помещает свои копии во все катологи, причём имя файла при этом совпадает с именем целевого каталога. Если в каталоге уже существовал файл с тем же именем, червь замещает его своей копией.
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
