Worm:Win32/Taterf


Описание:
Червь-Троян, также известен, как: Win32/Frethog.CUM (CA), W32/Lineage.KHE (Panda), Mal/Frethog-B (Sophos), Trojan-GameThief.Win32.Magania.ammv (Kaspersky), Generic PWS.ak (McAfee), Infostealer.Gampass (Symantec). Распространяется через логические диски и предназначен для кражи пользовательской информации: логины и пароли к аккаунтам популярных онлайн-игр.

Инсталляция:
Программа состоит из:
kamsoft.exe - активизирует червя и копирует файлы в системные папки, присваивая компонентам атрибуты "только для чтения" (read only), "скрытый" (hidden) и "системный" (system). Для своего запуска с загрузкой компьютера, kamsoft.exe изменяет ключ реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

добавляя строку %System%\kamsoft.exe со значением "kamsoft"
Затем, он внедряет в процессе "explorer.exe" второй компонент gasretyw.dll и пытается скопировать файлы m9ma.exe и autorun.inf в корень всех дисков от C:\ до Z:\.
Также добавляет строку "NoDriveTypeAutoRun" со значением "00000091" в ключ реестра

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

gasretyw.dll - деструктивный компонент, который пытается остановить режим защиты в реальном времени антивирусных продуктов Kaspersky и Rising

Для скрытия своих следов, gasretyw.dll добавляет записи в реестр:

  1. В HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - добавляет строку "CheckedValue" со значением "0".
  2. В HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced - добавляет строку "Hidden" со значением "2"
  3. В HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced - добавляет строку "ShowSuperHidden" со значением "0"

Методы борьбы:
Вариант первый.
Проверить всю систему с помощью антивируса с обновленными базами и программ Malware Anti-Malware и SpyWare Doctor

Вариант второй. Удаляем файлы:  %System%\kamsoft.exe и %System%\gasretyw.dll
Ищем и удаляем в реестре ("Пуск" - "Выполнить" - "regedit") все ключи и файлы, созданные вредоносной программой.