Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер: 220 160 байт
Упакован: -
- Распространяется в виде исполняемого файла, который является зараженным документом *.xls или *.doc
- При запуске такого документа помещает своё основное тело в системный каталог ОС Windows %systemroot%\system32\kspoold.exe, удаляя при этом его из оригинального файла, и запускает уже соответствующее приложение для *.xls или *.doc.
- Для обеспечения своего запуска при каждом старте ОС Windows регистрирует %systemroot%\system32\kspoold.exe как системную службу с отображаемым именем "K Print Spooler".
- В процессе работы, сервис сканирует все диски в поисках файлов с расширениями
*.mdf *.ldf *.dbf *.bak. Найденные файлы уничтожает, заполняя их мусорными записями, за исключением файлов из списка:
distmdl.ldf
distmdl.mdf
master.mdf
mastlog.ldf
model.mdf
modellog.ldf
msdbdata.mdf
msdblog.ldf
northwnd.ldf
northwnd.mdf
pubs.mdf
pubs_log.ldf
tempdb.mdf
templog.ldf
mssqlsystemresource.mdf
mssqlsystemresource.ldf
- На подмонтированных сменных носителях ищет *.xls и *.doc файлы для заражения. После заражения оригинальный документ удаляется. На жёстких дисках эти файлы вирус не заражает.
- Создает временный файл вида %WINDIR%\Temp\UninstallC.TMP, где последняя буква имени ('C') - это имя диска, который сканирует вирус.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Проверить все сменные носители на наличие Win32.HLLP.Kespo. Для найденных объектов применпить действие "Лечить".