Worm.Win32.Duster.b
Материал из Total Malware Info
Worm.Win32.Duster.b Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 47 616 байт. Написан на Delphi.
Инсталляция
Копирует свой исполняемый файл как:
%System%\dust.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell=”Explorer.exe dust.exe”
В системный файл настроек %WinDir%\system.ini добавляет следующие строки:
[boot] shell=Explorer.exe dust.exe
Деструктивная активность
Устанавливает соединение с адресом:
irc.undernet.org
после чего присоединяется к каналу с именем: “#TehCow cow” и ожидает команд от злоумышленников. Посылая команды злоумышленники могут выполнять на компьютере пользователя следующие действия: Скачивает файл из интернет по указанной ссылке и сохраняет его с именем WinLib.exe в своей рабочей папке после чего запускает. Производит IGMP Flood атаки на указанный адрес.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить процесс червя.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить строки из файла %WinDir%\system.ini:
- Удалить файл:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell=”Explorer.exe dust.exe”
[boot] shell=Explorer.exe dust.exe
%System%\dust.exe
