Тип вируса: Червь
Уязвимые ОС: Windows
Размер: 921,600 байт
Упакован: -
- При своём запуске создаёт копии своего исполняемого файла в корневом каталоге диска C:\New.exe, а также в %WINDIR%\Tasks\Svchost.exe. Кроме того, создаёт конфигурационный файл в корневых каталогах логических дисков autorun.inf. При открытии на другой логический диск происходит запуск исполняемого файла червя. Исполняемые файлы и файл конфигурации имеют атрибут "Скрытый".
- Для сокрытия своих файлов червь отключает отображение скрытых файлов, модифицируя ключ системного реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0 - Помимо этого, червь создаёт файл %WINDIR%\system\bs.pif и регистрирует его в системном реестре:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
BackBitmapIE5 = C:\WINDOWS\system\bs.pif
backBitmapShell = C:\WINDOWS\system\bs.pif
Это приводит к тому, что в Проводнике и в Internet Explorer в заголовке окна появляется полоса с текстом "BLUE STAR". - Находясь постоянно в оперативной памяти, червь отслеживает монтирование внешних флеш-носителей и, при обнаружении таковых, копирует на них свои исполняемый и конфигурационный файлы.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить". Просканировать все доступные на момент сканирования внешние флеш-накопители.
4. Для включения отображения скрытых файлов в Проводнике изменить значение ключа
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0 на ShowSuperHidden = 1
5. Удалить файл %WINDIR%\system\bs.pif посредством комбинации Shift+Delete (удаление помимо Корзины).
6. Открыть раздел
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
, найти ключи
BackBitmapIE5 = C:\WINDOWS\system\bs.pif
backBitmapShell = C:\WINDOWS\system\bs.pif