Уязвимые ОС: Win NT-based
Размер: 108 551 байт
Упакован: UPX
- Может быть установлен на инфицированный компьютер с помощью различных загрузчиков или инсталляторов вредоносных программ.
- Написан на Visual Basic.
- При запуске регистрирует исходный файл в автозагрузке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
[path-to-malwarefile],%systemroot%\system32\userinit.exe
а также
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
[path-to-malwarefile],%systemroot%\system32\userinit.exe
- Подменяет обои Рабочего стола на %WINDIR%\default.htm, содержащими текст о якобы инфицировании компьютера с предложением установить необходимое антивирусное программное обеспечение для устранения последствий инфицирования компьютера:
- Согласно своего файла конфигурации создаёт множество файлов, не являющихся исполняемыми, которые, впоследствии, и определяет как вредоносные:
- Периодически отображает в системном трее предупреждающий значок со всплывающим окном о необходимости скачать антивирусное программное обеспечение.
- Отключает вызов Диспетчера задач, модифицируя соответствующий ключ системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr: 0x00000001
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Открыть редактор реестра RegEdit и установить значение ключа "0" в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
5. Вызвать свойства экрана, сменить обои Рабочего стола и удалить файл %WINDIR%\default.htm
