VBS.Solow.G

Июнь 19, 2008 | Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

При запуске копирует себя как:

  • %Windir%\winrun.dll.vbs

(Примечание: %Windir% - директория, в которую установлена Windows, обычно - “C:\Windows”)

Обеспечивает себе автозагрузку при каждом запуске Windows, записывая в реестр следующие элементы:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”winrun.dll” = “%Windir%\winrun.dll.vbs”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”officescan” = “C:\Documents and Settings\All Users\Menu Demarrer\Programmes\Demarrage\officescan.vbs”

Заменяет заголовок окна Internet Explorer

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\”Window Title” = “// ;) anna I Liebe YOU ==> MILK@3|_!!!”

Копирует себя на все диски, которым в системе присвоена буква, кроме A, в корень под именем “winrun.vbs”; там же создает файл автозапуска “autorun.inf”.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows, написанный на языке сценариев Visual Basic Script (VBS). Распространяется копированием на все диски.