Worm.Win32.Zaurga.a
Вирус-червь, который распространяется при помощи копирования на флоппи диски своего тела под видом документов Microsoft Word.
Вирус-червь, который распространяется при помощи копирования на флоппи диски своего тела под видом документов Microsoft Word.
Программа является приложением Windows (PE EXE-файл). Имеет размер 65024 байта, сжата упаковщиком ASPack, распакованный размер — 132608 байт. Написана на языке Delphi.
Инсталляция
После запуска программа копирует себя в системный каталог Windows с именем lfh.exe:
%System%\lfh.exe
Программа устанавливает на этот файл атрибут «скрытый», после чего запускает его на выполнение.
Чтобы запускаться при старте операционной системы, программа добавляет ссылку на этот файл в ключ автозапуска системного реестра:
"Lfh"="%System%\Lfh.exe"
| name=doc3>Деструктивная активность |
Программа ищет в системе окна, в заголовках которых содержатся следующие строки:
Properties: Disk 3,5 (A:) Свойства: Диск 3,5 (A:) Свойства:Диск 3,5 (A:) cвойства: диск 3,5(a:) cвойства:диск 3,5(a:) Disk 3,5 (A:) Disk 3,5(A:) Диск 3,5 (A:) Диск 3,5(a:) Диск 3,5(A:)
Если программа находит окно, содержащее в своем заголовке одну из этих строк, она производит поиск на диске А: файлов с расширением Doc. Первый найденный файл программа удаляет и копирует себя на диск A: под его именем, добавляя расширение Exe:
<оригинальное имя файла>.exe
Программа повторяет вышеописанные действия каждые полсекунды до тех пор, пока все файлы на диске A: с расширением Doc не будут замещены ее телом или пока в системе не закроется окно, содержащее одну из вышеприведенных строк в заголовке.
| name=doc2>Рекомендации по удалению |
- В диспетчере задач завершить процесс с именем Lfh.exe.
- Удалить файл %System%\Lfh.exe.
- Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Lfh"="%System%\Lfh.exe"
Ваш провайдер знает о вас больше, чем ваша девушка? Присоединяйтесь и узнайте, как это остановить!