Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Net-Worm.Win32.Kido.ir

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3

    Net-Worm.Win32.Kido.ir

    Технические детали

    Червь, создающий свои копии на съемных дисках и через локальную сеть. Программа является скриптом автозапуска Windows (AUTORUN.INF-файл). Размер файла от 59284 до 95034 байт. Не упакован.


    Деструктивная активность

    Данный скрипт используется для запуска библиотеки червя из семейства Kido при подключении к компьютеру съемных носителей. Содержимое файла скрипта обфусцировано путем добавления случайного набора символов. Восстановив обфусцированные данные получаем следующий код скрипта автозапуска:

    [AUTorUN] AcTION=Open folder to view files icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4 OpEn=RunDll32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn sHEllExECUTe=RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn useAuTopLAY=1
    Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:
    .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на английском языке в диалоговом окне автозапуска.

    Рекомендации по удалению



    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления можно воспользоваться специальной утилитой, которую можно скачать по следующей ссылке:

    http://www.kaspersky.ru/support/wks6...?qid=208636215

    либо выполнить следующие действия:

    1. Удалить следующие файлы со всех съемных носителей:
    <X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска.
    2. Скачать и установить обновление системы по следующей ссылке:
    http://www.microsoft.com/technet/sec.../MS08-067.mspx
    Последний раз редактировалось Bern; 23.03.2011 в 00:35.

 

 

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 23.07.2016, 04:25
  2. Net-Worm.Win32.Kido.ih
    от Мирный Атом в разделе Описание вирусов
    Ответов: 1
    Последнее сообщение: 23.03.2011, 00:20

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •