Worm.VBS.VirusProtection.g


Технические детали
Червь, выполняющий деструктивные действия на компьютере пользователя. Программа является сценарием языка Visual Basic Script. Размер - 6124 байта.


Инсталляция
Червь создает копию своего тела под следующим именем:

  • %ProgramFiles%\Съемный диск\usb.wsf


Для автоматического запуска при следующем старте системы червь добавляет запись в ключ автозапуска системного реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Съемный диск"="%System%\wscript.exe %ProgramFiles%\Съемный диск\usb.wsf /Job:Work"


Распространение
Червь создает копии своего тела на всех доступных для записи съемных дисках под именем:

  • <имя зараженного диска>:\usb.wsf


Вместе с исполняемым файлом червя помещается файл:

  • <имя зараженного диска>:\autorun.inf


Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только для чтения" (read only).


Деструктивная активность
При подключении съемного диска к зараженному компьютеру, червь проверяет наличие файла "autorun.inf", и если такой файл существует, то червь удаляет его, а вместо удаленного файла создает свой.


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. При помощи "Диспетчера задач" завершить вредоносный процесс.
  2. Удалить ключ системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Съемный диск"="%System%\wscript.exe %ProgramFiles%\Съемный диск\usb.wsf /Job:Work"

  3. Удалить файлы:
    • <имя зараженного диска>:\usb.wsf <имя зараженного диска>:\autorun.inf %ProgramFiles%\Съемный диск\usb.wsf

  4. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt! либо Антивирусом Касперского с обновленными антивирусными базами.