Net-Worm.Win32.Kido.ir
Технические детали
Червь,
создающий свои копии на съемных дисках и через локальную сеть.
Программа является скриптом автозапуска Windows (AUTORUN.INF-файл).
Размер файла от 59284 до 95034 байт. Не упакован.
Деструктивная активность
Данный
скрипт используется для запуска библиотеки червя из семейства Kido при
подключении к компьютеру съемных носителей. Содержимое файла скрипта
обфусцировано путем добавления случайного набора символов. Восстановив
обфусцированные данные получаем следующий код скрипта автозапуска:
[AUTorUN]
AcTION=Open folder to view files
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll,4
OpEn=RunDll32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
sHEllExECUTe=RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
useAuTopLAY=1
Подразумевается, что библиотека червя находится в следующей папке на съемном носителе:
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Данная версия скрипта отображает фразу "Открыть папку для просмотра файлов" на английском языке в диалоговом окне автозапуска.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления можно воспользоваться
специальной утилитой, которую можно скачать по следующей ссылке:
http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215
либо выполнить следующие действия:
- Удалить следующие файлы со всех съемных носителей:
<X>:\autorun.inf
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ jwgkvsq.vmx, где X – буква съемного диска.
- Скачать и установить обновление системы по следующей ссылке:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
