Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

W32.SillyFDC.BBA

автор: Administrator | 7 марта 2009, 19:27 | Просмотров: 8384
теги: ЧЕРВЬ, РЕЕСТР, АВТОМАТИЧЕСКИ, ВРЕДОНОСНЫЕ, AutoRun, Windows



Описание:
W32.SillyFDC.BBA - червь, которое распространяется, копируя себя на сменных накопителей.

Тип вредоносной программы:
червь

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Размер:
40,960 байт

Технические детали:
При запуске, червь создает следующие файлы:
* %SystemDrive%\SYSTEM\[SID]\Desktop.ini
* %SystemDrive%\SYSTEM\[SID]\Perfume.exe

Затем червь создает следующую запись реестра, для того чтобы запускатся автоматически при старте Windows:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}\"StubPath" = "%SystemDrive%\SYSTEM\[SID]\Perfume.exe"

Червь копирует себя на все съемные диски, как следующие файлы:
* %DriveLetter%\SYSTEM\[SID]\Desktop.ini
* %DriveLetter%\SYSTEM\[SID]\Perfume.exe

На сменных дисках, создаёт файл: autorun.inf, при помощи которого червь запускается каждый раз когда открывается сменный накопитель.


Как удалить W32.SillyFDC.BBA:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.


источник:
symantec.com

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.