Файловый вирус W32.Pavsee.A


Описание
W32.Pavsee.A (Symantec) - файловый перезаписывающий вирус (overwriting) для операционных систем семейства Windows. Размер - 32,768 байта.


Инсталляция
Попадая на компьютер жертвы, вредонос заражает все файлы с расширениями:

  • .com;
  • .exe;
  • .scr,

на всех дисках, начиная с системного (параметр %SystemDisk% берется из системы) и до J:, по алфавиту.


Деструктивная активность
Заражая файлы системы, вирус перезаписывает собой первых 32 КБ оригинального файла, что приводит к его неработоспособности. При перезаписи важных системных файлов - происходит сбой в работе системы, что влечет за собой ее восстановление или переустановку.

Далее вредонос подключается к одному из серверов для загрузки своего обновления (в зашифрованном виде):

  • [http://]dns911.cn/kill[???]
  • [http://]122.224.9.151/kill[???]
  • [http://]baiduasp.web194.dns911.cn/kill[???]
  • [http://]www.lmok123.com/kill[???]


Методы борьбы

  1. Перезапустить компьютер, используя консоль восстановления Windows (Windows Recovery Console).
  2. Отключить функцию восстановления системы для Windows Me/XP.
  3. Запустить антивирус с обновленными базами или использовать бесплатную лечащую утилиту Dr.WebCureIt!.
  4. Переустановить приложения, пострадавшие от действия вируса.