Технические детали
Червь, распространяющийся при помощи сменных носителей информации. Является приложением Windows (PE EXE-файл). Имеет размер 38400 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 54 КБ. Написана на C++.
Деструктивная активность
При запуске червь внедряет в адресное пространство процесса «explorer» код, который выполняет функции бэкдора и получает команды удаленного управления от злоумышленника.
Данный код подключается к IRC-серверу. При этом используются следующие данные:
IRC-сервер: 67.*****.106
Порт: 7000
Имя пользователя: nnpvtb
Пароль: trb123trb
Червь распространяется путем копирования своего исполняемого файла на сменные носители. Копии троянца создаются под следующим именем:
<Disk>\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Где <Disk> – сменный носитель.
Для автоматического запуска своей копии, червь создает в корневом каталоге сменных носителей файл с именем, а который записывает соответствующую информацию:
><Disk>\Autorun.inf
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
\Autorun.inf
- Перезагрузить компьютер.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).