Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Virus.Win32.VB.cx

Virus.Win32.VB.cx

Время детектирования	12 янв 2007 18:15 MSK
Время выпуска обновления	12 янв 2007 18:15 MSK
Описание опубликовано	05 апр 2007 18:03 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы на компьютере пользователя. Является приложением Windows (PE EXE-файл). Написана на Visual Basic. Ничем не упакована. Размер оригинального вредоносного файла — 348160 байт.

Инсталляция

После запуска выполняется создание копий файла вируса c идентичным оригинальному именем (оригинальное должно быть с расширением .exe) в корневом, системном и временном каталогах Windows:

%WinDir%\%VirName%.exe
%System%\%VirName%.exe
%Temp%\%VirName%.exe

Также вирус добавляет ссылку на свою копию в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mab" = "%System%\%VirName%.exe"

Деструктивная активность

После инсталляции происходит поиск всех файлов в корневых каталогах на всех логических дисках в системе. В данных каталогах создаются копии исполняемого файла вируса под тем же именем, что и у оригинального файла, а содержимое найденных файлов с расширениями:

.cpp
.doc
.htm
.html
.txt
.xls

перезаписывается следующим текстом (размер 103 байта):

"Sorry!!!! $%%#@&re*$%$rthn#$^&&!f#&%$$f$#df#@^%$~`<:JHFgYttrt" "$%%%7``0924ksh<:{[86#$36455hgf#$45"

Если сканирование диска было окончено, оно повторяется через 5 секунд после завершения.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить процесс с именем файла вируса.
Удалить следующее значение реестра:
```
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"mab"
```
Удалить копии вируса в корневом, системном и временном каталогах Windows:
```
%WinDir%\%VirName%.exe
%System%\%VirName%.exe
%Temp%\%VirName%.exe
```
Произвести поиск и удаление всех файлов с именем файла вируса и таким же размером.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Другие модификации

Virus.Win32.VB.ab

Virus.Win32.VB.dl

Другие названия

Virus.Win32.VB.cx («Лаборатория Касперского») также известен как:

Trj/Waspy.A (Panda)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com