Worm.Win32.FlyStudio.bf

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, распространяющий себя через сменные носители. Является приложением Windows (PE-EXE файл). Имеет размер 1599164 байт. Упакован неизвестным упаковщиком.

Инсталляция

Копирует свой исполняемый файл как:

<%System%>\XP-<8 случайных символов>.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: Извлекает из своего тела следующие файлы:

%Temp%\E_4\dp1.fne - 114688 байт
%Temp%\E_4\eAPI.fne - 323584 байт
%Temp%\E_4\internet.fne  - 184320 байт
%Temp%\E_4\shell.fne  - 40960 байт
%Temp%\E_4\spec.fne  - 73728 байт
%Temp%\E_4\krnln.fnr  - 1098728 байт
%Temp%\E_4\RegEx.fnr  - 217088 байт
%Temp%\E_4\com.run  - 270336 байт

Распространение

Копирует свой исполняемый файл в корень каждого съемного диска:

<X>:\Recycled.exe

где, X – буква раздела.

Так же вместе со своим исполняемым файлом червь помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Червь производит поиск папок с атрибутом «системный» в корневых папках на всех съемных носителях, при нахождении скрытой папки червь копирует свой исполняем файл в папку, где находится скрытая с таким же именем и расширением .exe. Скопированный исполняемый файл имеет такую же иконку как и обычная папка Windows.

Деструктивная активность

В процессе работы создает следующие файлы:

%System%\og.dll
%System%\og.edt
%System%\ul.dll

Перехватывает обращения к поисковой системе Baidu, подменяя результаты поисковых запросов. Данные для отображения в результатах поисковых запросов скачиваются со следующего адреса:

http://www.y***in.com/

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   XP-<8 случайных символов>=<%System%>\XP-<8 случайных символов>.exe
4. Удалить файлы:

   <%System%>\XP-<8 случайных символов>.exe
   %Temp%\E_4\dp1.fne - 114688 байт
   %Temp%\E_4\eAPI.fne - 323584 байт
   %Temp%\E_4\internet.fne  - 184320 байт
   %Temp%\E_4\shell.fne  - 40960 байт
   %Temp%\E_4\spec.fne  - 73728 байт
   %Temp%\E_4\krnln.fnr  - 1098728 байт
   %Temp%\E_4\RegEx.fnr  - 217088 байт
   %Temp%\E_4\com.run  - 270336 байт
   %System%\og.dll
   %System%\og.edt
   %System%\ul.dll
   

5. Удалите все копии червя со сменных носителей.
6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).