Trojan.Dafut
(Worm.VB.NGS, WORM_VB.CII, W32/Tufik.B, W32/Generic.d, Trojan.Win32.VB.avx, Win32/SillyShareCopy.R, Worm.Win32.VB.el, Win32/VB, System error, Worm:Win32/VB, Worm.VB.WhBoy.A, Worm:Win32/SillyShareCopy.R, Trojan.VB.Agent.A, Parser error, TR/Crypt.CFI.Gen, Trojan.Autorun.VB.B, TR/VB.BEI, Worm/VB.BEI, WORM_SILLY.GI, TR/Agent.BGI, TROJ_VB.AVA, WORM_VB.EDZ, Worm/VB.EL.26, Generic2.TFN)
Описание добавлено:
2007-03-28
Тип вируса: Троянская программа
Уязвимые ОС: Win98/2000/XP/2003
Размер: 49 152
Упакован: -
Техническая информация
Написан на языке Visual Basic
При запуске копирует своё тело в системный каталог Windows:
%system%\work.exe, %system%\mssql.exe и %system%\ctfmons.exe.
Прописывает себя в автозапуск в следующих ветках реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\CurrentVersion\WinLogon\
Shell = "Explorer.exe work.exe"
и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
mssql = 'mssql.exe'
После чего остается в памяти и ждет подключения любого съемного носителя. Как только съемный носитель будет подключен, копирует себя на него в виде двух файлов в корневую папку диска - autorun.inf и printer.exe
Информация по восстановлению системы
1. Скачать бесплатную лечащую утилиту Dr.Web CureIt!
2. Просканировать диск С:\ и внешние носители. Для найденных объектов применить действие "Лечить". Удалить вручную файл autorun.inf с внешних носителей, при проверке которых был обнаружен Trojan.Dafut.
