Worm.VBS.VirusProtection.c


Описание
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является сценарием языка Visual Basic Script. Размер - 6162 байта.


Инсталляция
После запуска вредонос копирует свой оригинальный файл с именем:

  • %Program Files%\usb_anti_autorun\usb.wsf

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой файл в ключ автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "usb_autorun_remover"="\"%System%\wscript.exe\"
    \"%Program Files%\usb_anti_autorun\usb.wsf\" /Job:Work"

Далее вредонос разрешает запуск сервером сценариев "wscript.exe" заданий "wsf", добавляя следующую информацию в системный реестр:

  • [HKCR\WSFFile\Shell\Open\Command]
    "(default)"="%System%\WScript.exe "%1" %*"
  • [HKCR\WSFFile]
    "EditFlags"=dword:00000018


Деструктивная активность
Используя инструментарий WMI (Windows Management Instrumentation), червь каждые 3 секунды проверяет наличие в системе нового логического диска. Если к системе подключается съемный носитель или сетевой диск - червь создает в корневом каталоге дисков файл автозагрузки "autorun.inf" со следующими строками:

  • [AutoRun]
    open=wscript usb.wsf
    shellexecute=wscript.exe usb.wsf
    action=Install USB_Autorun_Remover
    description=Flash'ka
    label=Flash'ka
    shell=open
    UseAutoPlay=1
    shell\open\Command=wscript.exe usb.wsf
    shell\explore\Command=wscript.exe usb.wsf

а также копирует свой оригинальный файл в корневой каталог диска с именем:

  • X:\usb.wsf

где Х – буква логического диска съемного или сетевого ресурса.

Далее устанавливает файлам атрибуты "Архивный", "Только для чтения", "Скрытый", "Системный". В случае, если в корневом каталоге подключаемых дисков ранее находился файл автозагрузки "autorun.inf" – червь удаляет его.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. При помощи "Диспетчера задач" завершить процесс "wscript.exe".
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе реестра (реестр):
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "usb_autorun_remover"="\"%System%\wscript.exe\" \"%Program Files%\usb_anti_autorun\usb.wsf\" /Job:Work"

  4. Удалить файлы со следующими именами:
    • %Program Files%\usb_anti_autorun\usb.wsf
      X:\usb.wsf
      X:\autorun.inf

    где Х – буква логического диска съемного или сетевого ресурса.

  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.