Вирусяка в скайпе
Сегодня все утро занимался выковыриванием вируса из одной из наших офисных машин. Гадость редкостная.Приходит от одного из контактов ссылка на jpeg файл. Причем текст основывается на данных о поле контакта от кого и кому посылает (т.е. разный текст и окончания правильно ставит) Пришел девушке текст о том что ее фотографии разместили на некоем откровенном ресурсе, ну она разумеется и решила посмотреть что там.
Называется Worm.W32.Skipi.c
Описание его появилось только сегодня после обеда. Касперский его лечит с сегодняшними обновлениями, но на viruslist описание они еще не выложили.
исполняемые файлы:
• %SYSDIR%stwinsdat.exe
• %SYSDIR%odcwinst.exe
• %SYSDIR%windb32.exe
• %SYSDIR%servftc.exe
Добавляет следующие ключи в реестр:
– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
• Windows Sysdat="explorer.exe odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
• "Logon Settings2"="odcwinst.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer
Run
• "Policies Options2"="j"
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• System Driver2=-
– HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
• "Services Start2"="odcwinst.exe"
– HKLMSoftwareRMXcfg
• j="j"
– HKCUSoftwareRMXcfg
• j="j"
Добавляет в %sysdir%system32driversetchosts записи, которые не дают загрузиться обновлениям популярных антивирусов.
Перегрузиться в Safe Mode, удалить все ключи, указанные выше, стереть все из файла hosts, перегрузиться, удалить все исполняемые файлы вируса.
Либо удалить все из hosts, обновить антивирус и просканировать(Kaspersky и Avira точно лечат его)
Sursa
2007-09-12 17:08:08