Virus.Win32.Sality.aa

Технические детали
Технические детали
Деструктивная активность
Деструктивная активность
Рекомендации по удалению
Рекомендации по удалению

Технические детали

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 171519 байт. Написана на С++.

Технические детали

Файловый вирус, который заражает исполняемые файлы Windows. Является вредоносным кодом, который содержится в исполняемых файлах Windows PE-EXE. Размер тела вируса ~ 64 к.б., вирус использует полиморфное шифрование из за чего размер тела варьируется.

Инсталляция

При запуске зараженного файла вирус внедряет свой код в адресное пространство зараженного процесса и запускает его в отдельном потоке, после чего возвращает управление программе-носителю.

Извлекает из своего тела файл:

%System%\drivers\<5 случайных прописных букв>.sys
 – имеет размер 5184 байта.

и создает службу с именем «aic32p», запускающую извлеченный файл при каждой последующей загрузке Windows.

Заражение файлов

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR

Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.

Поиск файлов для заражения производится на всех разделах жесткого диска, съемных носителях и всех доступных для записи сетевых папках.

Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами "Op1mutx9", "Ap1mutx7". Затем вредонос в отдельном потоке создает копию своего оригинального процесса. Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002

Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline"=dword:00000000

Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]

Добавляет себя в список разрешенных для доступа в сеть приложений в файервол Windows, сохраняя следующий параметр в ключе реестра: Далее создает ключи реестра, в которых сохраняет свою служебную информацию: где rnd – случайные числа.

Затем находит файл с именем:

%WinDir%\system.ini

и добавляет в него следующую запись:

[MCIDRV_VER]
DEVICEMB=1812931242030

После этого вредонос извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:

%System%\drivers\.sys

где rnd – случайные латинские прописные буквы, например, "mgpgjg". Данный файл имеет размер 5509 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.aa. Извлеченный драйвер запускается под видом службы с именем "asc3360pr".

Затем, в отдельных потоках вредонос циклически выполняет следующие действия:

• Отключает запуск ОС в безопасном режиме, удаляя параметр "AlternateShell", в ключе реестра:

  [HKLM\System\CurrentControlSet\Control\SafeBoot]

  а также удаляет ключи со всеми подключами и параметрами:

  [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
  [HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
  

• Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:

  %Temp%\

• Пытается выполнить загрузку файлов, расположенных по ссылкам:

  http://89.***.***.154/testo5/?=
  http://*****trustnet777.info/home.gif?=
  http://*****trustnet888.info/home.gif?=
  http://*****trustnet987.info/home.gif?=
  http://www.*****e9fqwieluoi.info/?=
  

  где rnd - случайная цифробуквенная последовательность;
  rnd1 – случайная цифровая последовательность.
  В случае успешной загрузки – файлы сохраняются с именами:
  

  %Temp%\win.exe

  где rnd – случайные 4 латинские буквы. Затем каждый файл запускается на выполнение.
  На момент создания описания указанные ссылки не работали.

• Останавливает и удаляет службы со следующими именами:

  AgnitumClientSecurityService
  ALG
  aswUpdSv
  avast!Antivirus
  avast!MailScanner
  avast!WebScanner
  BackWebPlug-in-4476822
  bdss
  BGLiveSvc
  BlackICE
  CAISafe
  ccEvtMgr
  ccProxy
  ccSetMgr
  EsetService
  F-ProtAntivirusUpdateMonitor
  fsbwsys
  FSDFWD
  F-SecureGatekeeperHandlerStarter
  fshttps
  FSMA
  InoRPC
  InoRT
  InoTask
  ISSVC
  KPF4
  LavasoftFirewall
  LIVESRV
  McAfeeFramework
  McShield
  McTaskManager
  navapsvc
  NOD32krn
  NPFMntor
  NSCService
  OutpostFirewallmainmodule
  OutpostFirewall
  PAVFIRES
  PAVFNSVR
  PavProt
  PavPrSrv
  PAVSRV
  PcCtlCom
  PersonalFirewal
  PREVSRV
  ProtoPortFirewallservice
  PSIMSVC
  RapApp
  SmcService
  SNDSrvc
  SPBBCSvc
  SymantecCoreLC
  Tmntsrv
  TmPfw
  tmproxy
  UmxAgent
  UmxCfg
  UmxLU
  UmxPol
  vsmon
  VSSERV
  WebrootDesktopFirewallDataService
  WebrootFirewall
  XCOMM
  AVP
  

• Завершает процессы, содержащие в своем имени следующие строки:

  _AVPM.
  A2GUARD.
  AAVSHIELD.
  AVAST
  ADVCHK.
  AHNSD.
  AIRDEFENSE
  ALERTSVC
  ALMON.
  ALOGSERV
  ALSVC.
  AMON.
  ANTI-TROJAN.
  AVZ.
  ANTIVIR
  ANTS.
  APVXDWIN.
  ARMOR2NET.
  ASHAVAST.
  ASHDISP.
  ASHENHCD.
  ASHMAISV.
  ASHPOPWZ.
  ASHSERV.
  ASHSIMPL.
  ASHSKPCK.
  ASHWEBSV.
  ASWUPDSV.
  ATCON.
  ATUPDATER.
  ATWATCH.
  AUPDATE.
  AUTODOWN.
  AUTOTRACE.
  AUTOUPDATE.
  AVCIMAN.
  AVCONSOL.
  AVENGINE.
  AVGAMSVR.
  AVGCC.
  AVGCC32.
  AVGCTRL.
  AVGEMC.
  AVGFWSRV.
  AVGNT.
  AVGNTDD
  AVGNTMGR
  AVGSERV.
  AVGUARD.
  AVGUPSVC.
  AVINITNT.
  AVKSERV.
  AVKSERVICE.
  AVKWCTL.
  AVP.
  AVP32.
  AVPCC.
  AVPM.
  AVAST
  AVSCHED32.
  AVSYNMGR.
  AVWUPD32.
  AVWUPSRV.
  AVXMONITOR9X.
  AVXMONITORNT.
  AVXQUAR.
  BACKWEB-4476822.
  BDMCON.
  BDNEWS.
  BDOESRV.
  BDSS.
  BDSUBMIT.
  BDSWITCH.
  BLACKD.
  BLACKICE.
  CAFIX.
  CCAPP.
  CCEVTMGR.
  CCPROXY.
  CCSETMGR.
  CFIAUDIT.
  CLAMTRAY.
  CLAMWIN.
  CLAW95.
  CLAW95CF.
  CLEANER.
  CLEANER3.
  CLISVC.
  CMGRDIAN.
  CUREIT
  DEFWATCH.
  DOORS.
  DRVIRUS.
  DRWADINS.
  DRWEB32W.
  DRWEBSCD.
  DRWEBUPW.
  ESCANH95.
  ESCANHNT.
  EWIDOCTRL.
  EZANTIVIRUSREGISTRATIONCHECK.
  F-AGNT95.
  FAMEH32.
  FAST.
  FCH32.
  FILEMON
  FIRESVC.
  FIRETRAY.
  FIREWALL.
  FPAVUPDM.
  F-PROT95.
  FRESHCLAM.
  EKRN.
  FSAV32.
  FSAVGUI.
  FSBWSYS.
  F-SCHED.
  FSDFWD.
  FSGK32.
  FSGK32ST.
  FSGUIEXE.
  EGUI.
  FSMA32.
  FSMB32.
  FSPEX.
  FSSM32.
  F-STOPW.
  GCASDTSERV.
  GCASSERV.
  GIANTANTISPYWAREMAIN.
  GIANTANTISPYWAREUPDATER.
  GUARDGUI.
  GUARDNT.
  HREGMON.
  HRRES.
  HSOCKPE.
  HUPDATE.
  IAMAPP.
  IAMSERV.
  ICLOAD95.
  ICLOADNT.
  ICMON.
  ICSSUPPNT.
  ICSUPP95.
  ICSUPPNT.
  IFACE.
  INETUPD.
  INOCIT.
  INORPC.
  INORT.
  INOTASK.
  INOUPTNG.
  IOMON98.
  ISAFE.
  ISATRAY.
  ISRV95.
  ISSVC.
  KAV.
  KAVMM.
  KAVPF.
  KAVPFW.
  KAVSTART.
  KAVSVC.
  KAVSVCUI.
  KMAILMON.
  KPFWSVC.
  KWATCH.
  LOCKDOWN2000.
  LOGWATNT.
  LUALL.
  LUCOMSERVER.
  LUUPDATE.
  MCAGENT.
  MCMNHDLR.
  MCREGWIZ.
  MCUPDATE.
  MCVSSHLD.
  MINILOG.
  MYAGTSVC.
  MYAGTTRY.
  NAVAPSVC.
  NAVAPW32.
  NAVLU32.
  NAVW32.
  NOD32.
  NEOWATCHLOG.
  NEOWATCHTRAY.
  NISSERV
  NISUM.
  NMAIN.
  NOD32
  NORMIST.
  NOTSTART.
  NPAVTRAY.
  NPFMNTOR.
  NPFMSG.
  NPROTECT.
  NSCHED32.
  NSMDTR.
  NSSSERV.
  NSSTRAY.
  NTRTSCAN.
  NTXCONFIG.
  NUPGRADE.
  NVC95.
  NVCOD.
  NVCTE.
  NVCUT.
  NWSERVICE.
  OFCPFWSVC.
  OUTPOST.
  PAV.
  PAVFIRES.
  PAVFNSVR.
  PAVKRE.
  PAVPROT.
  PAVPROXY.
  PAVPRSRV.
  PAVSRV51.
  PAVSS.
  PCCGUIDE.
  PCCIOMON.
  PCCNTMON.
  PCCPFW.
  PCCTLCOM.
  PCTAV.
  PERSFW.
  PERTSK.
  PERVAC.
  PNMSRV.
  POP3TRAP.
  POPROXY.
  PREVSRV.
  PSIMSVC.
  QHM32.
  QHONLINE.
  QHONSVC.
  QHPF.
  QHWSCSVC.
  RAVMON.
  RAVTIMER.
  REALMON.
  REALMON95.
  RFWMAIN.
  RTVSCAN.
  RTVSCN95.
  RULAUNCH.
  SAVADMINSERVICE.
  SAVMAIN.
  SAVPROGRESS.
  SAVSCAN.
  SCAN32.
  SCANNINGPROCESS.
  CUREIT.
  SDHELP.
  SHSTAT.
  SITECLI.
  SPBBCSVC.
  SPHINX.
  SPIDERML.
  SPIDERNT.
  SPIDERUI.
  SPYBOTSD.
  SPYXX.
  SS3EDIT.
  STOPSIGNAV.
  SWAGENT.
  SWDOCTOR.
  SWNETSUP.
  SYMLCSVC.
  SYMPROXYSVC.
  SYMSPORT.
  SYMWSC.
  SYNMGR.
  TAUMON.
  TBMON.
  AVAST
  TDS-3.
  TEATIMER.
  TFAK.
  THAV.
  THSM.
  TMAS.
  TMLISTEN.
  TMNTSRV.
  TMPFW.
  TMPROXY.
  TNBUTIL.
  TRJSCAN.
  UP2DATE.
  VBA32ECM.
  VBA32IFS.
  VBA32LDR.
  VBA32PP3.
  VBSNTW.
  VCHK.
  VCRMON.
  VETTRAY.
  VIRUSKEEPER.
  VPTRAY.
  VRFWSVC.
  VRMONNT.
  VRMONSVC.
  VRRW32.
  VSECOMR.
  VSHWIN32.
  VSMON.
  VSSERV.
  VSSTAT.
  WATCHDOG.
  WEBPROXY.
  WEBSCANX.
  WEBTRAP.
  WGFE95.
  WINAW32.
  WINROUTE.
  WINSS.
  WINSSNOTIFY.
  WRADMIN.
  WRCTRL.
  XCOMMSVR.
  ZATUTOR.
  ZAUINST.
  ZLCLIENT.
  ZONEALARM.
  

• Ищет окна с текстом "dr.web", "cureit" и завершает процессы, которые создают данные окна.
• Выполняет поиск и удаление файлов с расширением "VDB", "KEY", "AVC", "drw".

При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:

cureit. 
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky

Заражение файлов

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

EXE 
SCR

Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:

%Temp%\__Rar\<имя запускаемого файла>.exe

Автозагрузка

Для автозапуска своего оригинального файла, вредонос создает в корневом каталоге всех логических дисков скрытый файл:

:\autorun.inf

в котором сохраняет команды запуска файла вредоноса. При открытии логического диска в "Проводнике" происходит автозагрузка вредоноса.

Деструктивная активность

Вирус добавляет исполняемый файл процесса, в котором работает его код в список доверенных процессов Windows Firewall.

Завершает процессы, которые содержат следующие строки в именах и удаляет их исполняемые файлы:

_AVPM.
A2GUARD.
AAVSHIELD.
ACKWIN32.
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
ANTIVIRSCHEDULER
ANTIVIRSERVICE
ANTS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVPUPD.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CPD.
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FAST.
FCH32
FILEMON FIRESVC
FIRETRAY
FIREWALL
FPAVUPDM
F-PROT95
FRESHCLAM
FRW
FSAV32
FSAVGUI
FSBWSYS
F-SCHED
FSDFWD
FSGK32
FSGK32ST
FSGUIEXE
FSM32
FSMA32
FSMB32
FSPEX
FSSM32
F-STOPW
GCASDTSERV
GCASSERV
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
GUARDGUI
GUARDNT
HREGMON
HRRES
HSOCKPE
HUPDATE
IAMAPP
IAMSERV
ICLOAD95
ICLOADNT
ICMON
ICSSUPPNT
ICSUPP95
ICSUPPNT
IFACE
INETUPD
INOCIT
INORPC
INORT
INOTASK
INOUPTNG
IOMON98
ISAFE
ISATRAY
ISRV95
ISSVC
KAV
KAVMM
KAVPF
KAVPFW
KAVSTART
KAVSVC
KAVSVCUI
KMAILMON
KPFWSVC
KWATCH
LOCKDOWN2000
LOGWATNT
LUALL
LUCOMSERVER
LUUPDATE
MCAGENT
MCMNHDLR
MCREGWIZ
MCUPDATE
MCVSSHLD
MINILOG
MYAGTSVC
MYAGTTRY
NAVAPSVC
NAVAPW32
NAVLU32
NAVW32
NDD32
NEOWATCHLOG
NEOWATCHTRAY
NISSERV NISUM
NMAIN
NOD32
NORMIST
NOTSTART
NPAVTRAY
NPFMNTOR
NPFMSG
NPROTECT
NSCHED32
NSMDTR
NSSSERV
NSSTRAY
NTRTSCAN
NTXCONFIG
NUPGRADE
NVC95
NVCOD
NVCTE
NVCUT
NWSERVICE
OFCPFWSVC
OUTPOST
PAV
PAVFIRES
PAVFNSVR
PAVKRE
PAVPROT
PAVPROXY
PAVPRSRV
PAVSRV51
PAVSS
PCCGUIDE
PCCIOMON
PCCNTMON
PCCPFW
PCCTLCOM
PCTAV
PERSFW
PERTSK
PERVAC
PNMSRV
POP3TRAP
POPROXY
PREVSRV
PSIMSVC
QHM32
QHONLINE
QHONSVC
QHPF
QHWSCSVC
RAVMON
RAVTIMER
REALMON
REALMON95
RFWMAIN
RTVSCAN
RTVSCN95
RULAUNCH
SAVADMINSERVICE
SAVMAIN
SAVPROGRESS
SAVSCAN
SCAN32
SCANNINGPROCESS
SCHED
SDHELP
SHSTAT
SITECLI
SPBBCSVC
SPHINX
SPIDERML
SPIDERNT
SPIDERUI
SPYBOTSD
SPYXX
SS3EDIT
STOPSIGNAV
SWAGENT
SWDOCTOR
SWNETSUP
SYMLCSVC
SYMPROXYSVC
SYMSPORT
SYMWSC
SYNMGR
TAUMON
TBMON
TC
TCA
TCM
TDS-3
TEATIMER
TFAK
THAV
THSM
TMAS
TMLISTEN
TMNTSRV
TMPFW
TMPROXY
TNBUTIL
TRJSCAN
UP2DATE
VBA32ECM
VBA32IFS
VBA32LDR
VBA32PP3
VBSNTW
VCHK
VCRMON
VETTRAY
VIRUSKEEPER
VPTRAY
VRFWSVC
VRMONNT
VRMONSVC
VRRW32
VSECOMR
VSHWIN32
VSMON
VSSERV
VSSTAT
WATCHDOG
WEBPROXY
WEBSCANX
WEBTRAP
WGFE95
WINAW32
WINROUTE
WINSS
WINSSNOTIFY
WRADMIN
WRCTRL
XCOMMSVR
ZATUTOR
ZAUINST
ZLCLIENT
ZONEALARM.

Останавливает службы:

ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

Пытается скачать файл по одной из следующих ссылок:

http://mat***teria.pl/logos.gif
http://mac***ia.my1.ru/logoh.gif
http://kuk***tnet777.info/home.gif
http://kuk***tnet888.info/home.gif
http://kuk***tnet987.info/home.gif

и сохраняет его во временную папку с временным именем после чего запускает на выполнение. На момент написания описания ни одна из ссылок не работала.

При помощи установленного в систему драйвера фильтрует сетевой трафик и запрещает доступ к адресам содержащим следующие строки:

cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky

таким образом препятствуя обновлению установленных антивирусных программ.

Ищет и удаляет файлы с расширениями:

.vdb
.key
.avc

и содержащие в имени строку "drw".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключ реестра (как работать с реестром?):

   [HKCU\Software\<имя_пользвателя>914]

4. Удалить параметры в ключах реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden"=dword:00000002 [HKLM\System\CurrentControlSet\Services\
   SharedAccess\Parameters\FirewallPolicy\StandardProfile\
   AuthorizedApplications\List] "<путь_к_оригинальному_файлу_червя>"="
   <путь_к_оригинальному_файлу_червя>:*:Enabled:ipsec"
5. При необходимости включить UAC (User Account Control):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
   "EnableLUA" = dword:00000001
   

6. Восстановить работу остановленных вредоносом служб.
7. При наличии удалить файл:

   %Temp%\win<rnd>.exe

   где rnd – случайные 4 латинские буквы
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Завершить зараженный процесс
2. Удалить все копии вируса на жестком диске
3. Удалить файл:

   %System%\drivers\<5 случайных прописных букв>.sys

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).