You are here: wiki.cifrabar.ru>Help/Internet Web>FAQ>FAQVirusy>FanExe (05 Apr 2012, mishura_5foa)Edit Attach

Вирус FAN.EXE


Инсталляция
После запуска червь копирует свое тело в различные каталоги под следующими именами:

%System%\Fun.exe
%WinDir%\dc.exe
%WinDir%\SVIQ.EXE
%WinDir%\inf\Other.exe
%System%\WinSit.exe
%System%\config\Win.exe
%WinDir%\Help\Other.exe
Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dc2k5" = "%WinDir%\\SVIQ.EXE"
"Fun" = "%System%\\Fun.exe"
"dc" = "%WinDir%\\dc.exe"
Деструктивная активность

Червь пытается скачать файлы "ND.txt" и "NWB.txt", расположенные по следующим адресам:

_http://dung*****googlepages.com/ND.txt
_http://dung*****googlepages.com/NWB.txt
На момент создания описания данные ссылки не работали.

Кроме того, червь рассылает ссылки на свой исполняемый файл при помощи программы "Yahoo! Messenger".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить записи в ключе системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dc2k5" = "%WinDir%\\SVIQ.EXE"
"Fun" = "%System%\\Fun.exe"
"dc" = "%WinDir%\\dc.exe"
Перезагрузить компьютер.
Удалить файлы, созданные червем:
%System%\Fun.exe
%WinDir%\dc.exe
%WinDir%\SVIQ.EXE
%WinDir%\inf\Other.exe
%System%\WinSit.exe
%System%\config\Win.exe
%WinDir%\Help\Other.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

http://komputer-ua.at.ua/news/2009-03-12-24
Topic revision: r1 - 05 Apr 2012, mishura_5foa
ЦифраБар © 2024
info@cifrabar.ru
ЦифраБар
142280, Россия, г. Протвино, ул. Гагарина, д. 2/а
+7 (4967) 34-30-30, +7 (4967) 74-46-80