Признаки
Программа должна быть установлена пользователем вручную; никаких самостоятельных действий по своей установке она не производит. При установке создаются следующие файлы:
* %ProgramFiles%VirusRemover2008VRM2008.exe - (определяется VirusRemover2008)
* %ProgramFiles%VirusRemover2008Viruses.bdt - (пустой файл)
* %SystemDrive%VirusRemover2008.lnk
* %SystemDrive%Documents and SettingsAdministratorDesktopVirusRemover2008.lnk
* %SystemDrive%Documents and SettingsAll UsersStart MenuProgramsVirusRemover2008
* %SystemDrive%Documents and SettingsAdministratorApplication DataMicrosoftInternet ExplorerQuick LaunchVirusRemover2008.lnk
(%ProgramFiles% - директория для установки приложений по умолчанию; %SystemDrive% - системный диск, обычно "C:")
Делает в реестре запись, обеспечивающую автозагрузку при каждом старте системы:
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"VirusRemover2008" = "%ProgramFiles%VirusRemover2008VRM2008.exe"
В реестре создаются также следующие записи:
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"ActivationCode" = "36"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"CookieParams" = "29"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"InfectionCount" = "4"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"InstallDate" = "16"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"LastDetectTime" = "[RANDOM HEXIDECIMAL STRING]"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"LastScanTime" = "[RANDOM HEXIDECIMAL STRING]"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"TotalScanCount" = "4"
* HKEY_LOCAL_MACHINESOFTWAREVirusRemover2008"UpdateEnabled" = "1"
* HKEY_LOCAL_MACHINESOFTWARE{5222008A-DD62-49c7-A735-7BD18ECC7350}
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallVirusRemover2008
ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Фальшивый антивирус для платформы Windows. Сообщает о наличии на компьютере вредоносных программ, которые на самом деле не существуют, и предлагает оплатить полную версию для их удаления.
Разработчик: NewBonn, Inc.; название: VirusRemover2008.
источник: Symantec.com
|