P2P-Worm.VBS.Ypfun
Материал из Total Malware Info
P2P-Worm.VBS.Ypfun Виру - червь для файлообменных сетей. Программа является файлом сценария языка Visual Basic Script. Имеет размер 1 570 байт. Написан на Visual Basic Script.
Деструктивная активность
Для внедрения в P2P-сеть червь копирует свое тело в каталог обмена файлами, который расположен на локальной машине. Всю остальную работу по распространению червя P2P-клиент берет на себя — при поиске файлов в сети он сообщает удаленным пользователям о данном файле и предоставляет весь необходимый сервис для скачивания файла с зараженного компьютера. Далее при наличии в системе следующих P2P – клиентов, червь копирует свое тело в каталоги обмена файлами:
C:\Program Files\Kazaa\My Shared Folder\Ytunnel Pro Crack.exe.vbs C:\Program Files\KaZaA Lite\My Shared Folder\Ytunnel Pro Crack.exe.vbs C:\Program Files\Grokster\My Grokster\Ytunnel Pro Crack.exe.vbs
При наличии в системе следующих каталогов:
C:\Program Files\Y!Tunnel C:\Program Files\Y!TunnelPro SP1 C:\Program Files\Y!TunnelPro SP2
Червь с помощью системной утилиты "ping" отправляет в бесконечном цикле сообщения размером 914 байт на следующий адрес:
www.ytunnel.digitalcitrus.com
После чего в файл командного интерпретатора"C:\Autoexec.bat" червь записывает строку:
Echo y | Format C:
Если на зараженной системе установлена версия Windows семейства 9x, то после перезагрузки произойдет форматирование логического диска С:.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows). Удалить следующие строки в файле командного интерпретатора"C:\Autoexec.bat":
Echo y | Format C:
