Security Lab

Worm.VBS.VirusProtection.g

Worm.VBS.VirusProtection.g

Червь, выполняющий деструктивные действия на компьютере пользователя. Программа является сценарием языка Visual Basic Script.

Технические детали

Червь, выполняющий деструктивные действия на компьютере пользователя Программа является сценарием языка Visual Basic Script. Имеет размер 6124 байта.

Инсталляция

Червь создает копию своего тела под следующим именем:

%ProgramFiles%\Съемный диск\usb.wsf

Для автоматического запуска при следующем старте системы червь добавляет запись в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  	"Съемный   диск"="%System%\wscript.exe %ProgramFiles%\Съемный
  	диск\usb.wsf   /Job:Work"

Распространение

Червь создает копии своего тела на всех доступных для записи съемных дисках под именем:

<имя зараженного диска>:\usb.wsf

Вместе с исполняемым файлом червя помещается файл:

<имя зараженного диска>:\autorun.inf

Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только для чтения" (read only).


Деструктивная активность

При подключении съемного диска к зараженному компьютеру, червь проверяет наличие файла "autorun.inf", и если такой файл существует, то червь удаляет его, а вместо удаленного файла создает свой.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи "Диспетчера задач" завершить вредоносный процесс.
  2. Удалить ключ системного реестра : [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Съемный диск"="%System%\wscript.exe %ProgramFiles%\Съемный диск\usb.wsf /Job:Work"
  3. Удалить файлы: <имя зараженного диска>:\usb.wsf <имя зараженного диска>:\autorun.inf %ProgramFiles%\Съемный диск\usb.wsf
  4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться