Описание.
Win32.HLLM.Generic.391 - почтовый червь массовой рассылки. Написан на языке Visual Basic.
Распространение.
По всем найденным на зараженной машине почтовым адресам рассылаются зараженные сообщения.
В доступные сетевые ресурсы C$ и ADMIN$ червь копирует себя с именем Winzip_TMP.exe.
Перебирает заголовки окон и, считая что это имя папки, пытается зайти в нее. Если получается, создает там свою копию с именем Winzip_TMP.exe.
Запуск вируса.
При запуске червь создает в системной папке windows пустой zip-архив с тем же именем, что и исполняемый файл, и открывает его. Затем копирует себя в папку windows под именем rundll16.exe и в системную папку под следующими именами:
scanregw.exe
update.exe
winzip.exe
Действия.
Третьего числа каждого месяца червь перезаписывает строкой "DATA Error [47 0F 94 93 F4 K5]" все файлы со следующими расширениями:
doc
xls
mdb
mde
ppt
pps
zip
rar
pdf
psd
dmp
Рекомендации по восстановлению системы
1. Загрузить ОС Windows в Безопасном режиме (Safe Mode) ;
2. Просканировать локальные диски компьютера сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT!. Действие для найденных файлов - удалить ;
3. Если были повреждены какие-либо антивирусные программы, их необходимо переустановить.
