VirusHunter предупреждает всех пользователей ПК о массовом распространении очень опасного вируса Win32.ChinaWorm.II (aka Worm.Fujack), копирующего себя на съемные и стационарные носители информации, сетевые диски, создавая при этом серьезные помехи в работе локальной сети, а также осуществляющего ряд деструктивных процедур...


Некоторые определения, встречающиеся в описании.

Проводник - так далее по тексту я буду называть Проводник "Explorer" Windows, который используется большинством пользователей для работы с файлами и папками;

Корень диска - все файлы в основании диска, исключая все находящиеся на нем папки со всем их содержимым;

СНИ - так далее по тексту я буду сокращенно называть "съемные носители информации";

%drivename% - условное обозначение имени диска в тех случаях, когда конкретизация его имени не имеет существенного значения;

%windir% - каталог, в который установлена ОС Windows.


1. Источники попадания в компьютер.

Источником распространения червя Win32.ChinaWorm.II могут являться как СНИ, подключаемые к USB-портам (Flash-диски, Card Memory - съемная память, используемая в цифровых фотоаппаратах и видеокамерах, и т.п.), так и файло-обменные сети, где вирус может быть подсунут пользователям как "полезная" программа среди прочего софта. При этом файл червя может иметь различные имена.


2. Инсталляция в систему.

Червь написан на Borland Delphi, разработан в Китае под ОС Windows XP и выше, но, очевиднее всего, работоспособен и под Windows 2K; под Windows 9X/ME не функционирует. Программа вируса является PE EXE-файлом (Windows-приложением) размером 36297 байт. Программный код сжат при помощи какой-то неизвестной мне утилиты компрессии программных файлов. Дамп распакованного кода, извлеченный из памяти, имеет размер 118784 байта.
В корне зараженного СНИ присутствуют 2 файла:

%drivename%\setup.exe - файл-копия вируса (размер 36297 байт);
%drivename%\autorun.inf - вредоносный файл-дроппер (размер 81 байт), используемый для автозапуска файла червя - setup.exe при обращении к инфицированному СНИ, а впоследствии - к логическим и сетевым дискам зараженного компьютера через Проводник. Генерируется непосредственно вирусом.

Оба файла имеют для маскировки атрибуты "скрытый" и "системный", а также "только для чтения" и "архивный" ("hidden", "system", "read only" и "archive" соответственно). Первые 2 из перечисленных атрибутов делают вредоносные файлы невидимыми для визуального просмотра в том случае, если юзер использует для работы с файлами и папками Проводник или программу-менеджер папок и файлов Total Commnader, у которых в настройках "по умолчанию" отключен показ объектов с данными атрибутами.
Принцип неконтролируемого запуска вируса при обращении к файлу autorun.inf через Проводник основан на свойстве Windows автоматически считывать и выполнять инструкции из файлов определенного формата и с определенными именами при чтении данных с СНИ, представляющих собой автозагрузочные диски для работы под оболочкой Windows. Детально о назначении autorun.inf и неконтролируемом запуске вредоносного кода посредством данного файла я уже описывал в статьях о троянской программе Trojan.LittleWorm (aka Win32.Worm.Small) и черве Win32.ChinaWorm (aka Win32.Perlovga.A, Perlovga.B).
При подключении СНИ к компьютеру под управлением ОС Windows XP или выше, система обычно автоматически открывает содержимое носителя в окне Проводника. В случае с зараженным носителем Windows выдает на экран следующее меню:


Также в меню выбора способа открытия содержимого носителя добавляется дополнительный пункт - "Auto".
Все это происходит потому, что система воспринимает носитель, содержащий в своем корне файл autorun.inf, как загрузочный, и запрашивает действие пользователя по обработке такого СНИ.
Если даже пользователь выберет вариант открытия содержимого диска через Проводник (а это, кстати говоря, единственный способ просмотреть содержимое носителя средствами Windows, поскольку вредоносный файл autorun.inf содержит такие команды, которые не позволяют открыть диск напрямую), запуска вируса и заражения системы не произойдет: активизация файла setup.exe возможна только в том случае, если пользователь откроет содержимое носителя через меню "Мой компьютер" (т.е. при двойном щелчке на иконке СНИ в общем списке всех подключенных дисков машины). В этом случае система считывает и выполняет инструкцию из autorun.inf, в результате чего автоматически запускает на выполнение setup.exe. При этом никаких внешне заметных изменений не происходит.
Если же пользователь работает с носителем не через Проводник, а через какой-либо др. менеджер файлов и папок (например, Far Manager или Total Commander), то запуск setup.exe возможен только в том случае, если пользователь собственноручно запустит данный файл (как и в случае попадания вирусного файла через файло-обменную сеть). Тут, как и при ситуации с автоматическим запуском вируса, никаких внешне заметных изменений не происходит.
При запуске вирус проверяет 3 условия:

 1.- название своего файла: если оно соответствует spoclsv.exe, то проверяется 2-е условие; если нет - проверяется 3-е условие;

 2.- местоположение своего файла: если оно отлично от %windir%\System32\drivers\, то работа червя завершается без осуществления каких-либо действий;

 3.- присутствие в памяти активного процесса %windir%\System32\drivers\spoclsv.exe. Если таковой имеет место, то текущая копия червя завершает свою работу (считается, что компьютер уже заражен); если же нет, то вирус копирует свой файл как

%windir%\System32\drivers\spoclsv.exe

, запускает эту копию на выполнение, передает ей управление и завершает работу текущей копии.
Вредоносный файл spoclsv.exe остается активным вплоть до завершения работы системы. Он не имеет атрибутов "скрытый" и "системный" в том случае, если вирус был занесен не с СНИ, а скачан из файло-обменной сети.
Для возможности автоматического запуска данного файла при каждом последующем старте Windows в ключах автозапуска системного реестра создается следующее значение с ссылкой на файл spoclsv.exe:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%windir%\\system32\\drivers\\spoclsv.exe"


Название файла специально выбрано сходным с одним из важных системных компонентов - %windir%\system32\spoolsv.exe - чтобы сбить пользователя с толку и сделать вредоносный процесс неприметным среди названий прочих активных процессов системы. Дата и время модификации данного файла соответствуют создавшей его вирусной копии.


3. Размножение вируса.

На протяжении всей работы системы червь ищет все доступные локальные (собственные диски компьютера), сетевые и съемные диски, пытаясь создавать на них свои копии. При этом игнорируются как стационарные, так и съемные дисководы под флоппи-диски, которым всегда присвоены имена A: и B:. Поиск осуществляется от диска C: до диска Z:, при этом вирус запоминает все диски, которые являются съемными (т.е. подключенные к USB-портам), и далее повторяет попытки заражения с периодичностью в 5 секунд для локальных и сетевых дисков, а для съемных - с периодичностью в 1 секунду.
В ходе заражения червь создает в корне каждого из обнаруженных дисков, доступных для записи, файлы

%drivename%\autorun.inf
и
%drivename%\setup.exe

, которые перезаписывает с вышеуказанной периодичностью. Им присваиваются атрибуты "скрытый", "системный", "архивный" и "только для чтения". Дата и время модификации файлов setup.exe соответствует главной копии вируса (файлу spoclsv.exe), а у файлов autorun.inf - реальной дате и времени, когда они были созданы вирусом.
В том случае, если запись на СНИ заблокирована при помощи спец. джампера на корпусе флэшки, или если к компьютеру подключен, например, цифровой фотоаппарат, у которого чтение производится с внутренней (несъемной) памяти, запись на которую также запрещена из вне, то при попытках червя заразить такой носитель на экран будет выдано следующее системное сообщение об ошибке:


Если пользователь пытается отключить СНИ в тот момент, когда зловред осуществляет заражение последнего, то система выдает на экран следующее сообщение:


Для того, чтобы сделать невозможным просмотр скрытых и системных файлов на дисках зараженного компьютера через Проводник, вирус изменяет значение одного из параметров в нижеприведенной ветке ключей системного реестра (ни сам ключ полностью, ни изменяемый параметр не приводятся по соображениям безопасности) с "1" на "0":

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\%\%]
"%"=dword:00000000


Изменение значения данного параметра приводит к тому, что при попытках пользователя установить "галочку" на параметре "Показывать скрытые файлы и папки" в свойствах просмотра каталогов через Проводник, система автоматически возвращает параметру исходное значение "Не показывать скрытые файлы и папки".
В том случае, если вирус обнаруживает в Сетевом окружении имена др. компьютеров (т.е. при наличии локальной сети), то в корне каждого из дисков инфицированного компьютера вирус также создает и копии под названием

%drivename%\GameSetup.exe

, идентичные файлам setup.exe.
При заражении сетевых дисков червь определяет те из них, которые доступны для записи. Если доступ к общему сетевому диску закрыт паролем, то вирус пытается подобрать его, перебирая варианты из собственного "словаря" (всего 104 варианта) и подключившись к учетной записи Administrator:

admin$
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root


Получив доступ к сетевым дискам, на которые разрешена запись данных, вирус создает в их корнях свои файлы

%drivename%\autorun.inf
%drivename%\setup.exe
%drivename%\GameSetup.exe

Кроме того, он пытается обнаружить нижеприведенные системные подкаталоги автозагрузки программ:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Documents and Settings\All Users\[тот же путь, но с именами подкаталогов на китайском языке]\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

Если таковые обнаружены и открыты для записи, то червь записывает в них свою копию под названием GameSetup.exe. Также он зачем-то пытается обнаружить на сетевом компьютере системный подкаталог \System32\drivers\ и проверить в нем наличие файла spoclsv.exe - очевидно, для того, чтобы определить заражена ли в нем уже система или нет (непонятно только зачем).
"Благодаря" записи файла GameSetup.exe в подкаталоги автозагрузки на сетевых компьютерах, червь получает возможность автоматического запуска на них при первой перезагрузке системы или даже раньше - если пользователи этих компьютеров обратятся в "Мой компьютер" через Проводник к любому из зараженных дисков. Однако, червь сможет записать свой файл GameSetup.exe в подкаталог автозагрузки только в том случае, если на сетевом компьютере установлена англоязычная или китайская версия Windows 2K/XP, поскольку в противном случае ему (вирусу) просто-напросто не удастся распознать путь к нужной папке. Также абсолютно бессмысленно копировать себя в папку \WINDOWS\Start Menu\Programs\Startup\ - это каталог автозагрузки программ в Windows 98/ME, под которыми, как уже было сказано выше, червь неработоспособен.


4. Действия червя во время работы в сети Интернет.

Через определенные промежутки времени червь пытается открывать 53-й порт TCP/IP-протокола (порт по умолчанию) и в том случае, если подключение к Интернету активно и данный порт не занят др. программой, расшифровывает и загружает 2 какие-то ссылки, по которым скачивает в компьютер др. вредоносные файлы (информацию о 3-й ссылке см. в р-ле 6 этого описания).
Также он открывает произвольный порт TCP/IP-протокола и пытается установить соединение с каким-то сервером (ссылка также содержится в коде червя в зашифрованном виде). Судя по всему, вирус передает на этот сервер сетевой IP-адрес зараженного компьютера, номер открытого TCP-порта, а также список доменных имен локальных компьютеров, подключенных к зараженному. Затем ждет команд злоумышленников: отправка/принятие данных производится вирусом за счет использования возможностей системной библиотеки netapi32.dll, а команды злоумышленников с удаленного сервера передаются вирусу в форме сетевых API-функций, поддерживаемых ОС Windows. Поэтому вирус дополнительно резервирует часть памяти, отведенную в системе под буфер обмена API-данными.


5. Деструктивные действия червя.

Сразу после внедрения в систему червь производит ряд деструктивных действий в отношении некоторых популярных антивирусов, программ-отладчиков и межсетевых экранов. Сначала он пытается принудительно завершить работу активных процессов, у которых в заголовках программных окон присутствует любое из нижеприведенных названий:

VirusScan
NOD32
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe


Параллельно с этим он пытается принудительно завершить активные процессы, названия которых попадают в следующий список (некоторые присутствуют по несколько раз, поскольку соответствующие процессы загружены несколькими потоками для более надежной защиты от попыток остановки):

Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
KVWSC
KVSrvXP
kavsvc
AVP
AVP
kavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc


Кроме того, чтобы в дальнейшем запуск защитного ПО был невозможен, вирус удаляет из ключей реестра следующие ветки:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse


Также червь может произвольным образом выгружать из сетевого окружения какой-либо выбранный случайным (?) образом общий диск, а также заблокировать доступ к системному каталогу на зараженном компьютере. Для этого он использует командную строку, в которой оперирует с системным компонентом net1.exe. Используя возможности этого компонента, при наличии активной системной службы "Server" ("Сервер"), вирус может осуществлять указанную процедуру (примечание: при наличии локальных соединений данная служба не может быть неактивной).
Помимо всего этого, вирус ищет на всех доступных дисках компьютера файлы с расширением "GHO" (файлы-архивы, созданные при помощи программы Norton Ghost), содержащие Backup'ы системных и пользовательских данных. В результате этого пользователь теряет возможность восстановления системы и своей собственной информации из файлов-имиджей, созданных посредством Norton Ghost.


6. Заражение HTML-документов.

Вирус постоянно просматривает все каталоги с вложенными в них папками на всех доступных для записи дисках от C: до Z:. В каждом подкаталоге он создает по файлу

Desktop_.ini

, которому присваивает атрибуты "скрытый", "системный", "архивный" и "только для чтения". В этот файл он записывает текущую дату в формате [год]-[месяц]-[день], разделенные между собой дефисами, например: 2007-8-3 или 2007-10-15 и т.д. Когда текущая дата изменяется, вирус перезаписывает содержимое файлов Desktop_.ini, записывая в них новую дату. При создании пользователем новых папок в них так же дописываются файлы Desktop_.ini.
Однако вирус не создает данные файлы в корнях дисков, а также в тех каталогах (и, соответственно, содержащихся в них подкаталогах), имена которых соответствуют одному из нижеприведенных:

WINDOWS
WINNT
system32
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone


Также он случайным образом ищет в подкаталогах, содержащих файлы Desktop_.ini, случайное количество HTML-документов (страницы в формате HTML), файлы которых имеют одно из следующих расширений:

htm
html
asp
php
jsp
aspx


При обнаружении таковых червь расшифровывает и считывает из своего кода 95-ти байтный вредоносный скрипт, выполненный в формате HTML, и проверяет наличие кода этого скрипта в обнаруженных HTML-документах. Если код найден, то, следовательно, файл уже заражен; если же нет, то вирус дописывает данный скрипт в оригинальном расшифрованном виде в конец заражаемого файла. После записи скрипта в конец зараженного файла также добавляется дополнительная пустая строка. После этого зараженный файл пересохраняется, а его размер увеличивается на 97 байт.
При запуске зараженного файла, параллельно с открытием его оригинального содержимого, вэб-броузер, установленный в системе "по умолчанию", скрытно от глаз пользователя пытается загрузить следующую ссылку (фрагменты ссылки заменены символами "%" по соображениям безопасности):

http://ww.v%ph.net/wu%%n/down.htm

При наличии активного подключения к сети Интернет, по данной ссылке в компьютер скрытно загружается и запускается на выполнение какая-то вредоносная программа (на момент разработки данного описания ссылка не работала).
При отсутствии активного подключения к сети Интернет вредоносный скрипт никакой опасности не представляет.


7. Прочее.

Вирус удаляет на диске, на который в компьютере установлена ОС Windows, скрытый системный каталог Recycled. Этот каталог используется системой как хранилище копий удаленных пользователем файлов, поэтому он подвязан к ярлыку "Корзина" на Рабочем столе. Однако вирус создает вместо него скрытый каталог RECYCLER, который регистрирует в системе, подвязывая его к ярлыку "Корзина". После этого данный каталог полностью заменяет собой удаленный оригинальный Recycled. При этом, если пользователь попытается переименовать каталог RECYCLER назад в Recycled, то вирус снова создаст папку RECYCLER и передаст на нее системное управление, но при этом уже не удалит каталог Recycled. На других дисках компьютера вирус не заменяет папки Recycled, но меняет малые буквы в их названиях на заглавные, т.е. вместо Recycled получается RECYCLED. Для чего вирус это делает - непонятно.
В ходе своей "деятельности" червь может создавать служебный файл

C:\test.txt

Судя по всему, в данный файл червь записывает информацию о заражении обнаруженных сетевых компьютеров, а также отчеты о проделанных действиях во время работы в сети Интернет. Затем данный файл передается на удаленный сервер злоумышленникам.
Также вирус может создавать временный файл $$.bat и запускать его на выполнение. Этот файл содержит команды переименования какого-то файла, удаления более ранней его версии, а также удаления самого себя, когда первые 2 команды будут выполнены. Очевиднее всего, $$.bat используется вирусом при перезаписи обновленных вариантов загружаемых им из сети Интернет вредоносных программ, или же при своей перерегистрации после скачивания собственного обновления.
В коде червя присутствуют какие-то тексты и просто комментарии на китайском языке. Также имеют место и следующие текстовые фрагменты:

mopery
xboy
whboy
Service Pack 2


Файл червя не содержит информационной секции, а его иконка при просмотре в Проводнике выглядит следующим образом:



8. Детектирование и удаление вируса из машины и с СНИ.

На данный момент вирус Win32.ChinaWorm.II уже детектируется антивирусами под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
файл autorun.inf: Backdoor.Win32.Hupigon.ccjc
файл setup.exe (GameSetup.exe, spoclsv.exe): Worm.Win32.Fujack.n
зараженные HTML-документы: Worm.Win32.Fujack.n (лечит файлы)

Антивирус DrWeb:
файл autorun.inf: Win32.HLLW.Autoruner.461
файл setup.exe (GameSetup.exe, spoclsv.exe): Win32.HLLP.Whboy
зараженные HTML-документы: Win32.HLLW.Whboy (лечит файлы)

Антивирус BitDefender Professional:
файл autorun.inf: не детектируется
файл setup.exe (GameSetup.exe, spoclsv.exe): Win32.Worm.Fujacks.BA
зараженные HTML-документы: Trojan.Fujif.CE (не может лечить)

Для удаления всех вирусных копий, лечения зараженных HTML-документов, а также устранения проблемы, связанной с блокировкой некорректно вылеченных носителей при обращении к ним через Проводник, я рекомендую Вам проделать следующее:

 - проверьте компьютер установленной на нем антивирусной программой;

 - в случае обнаружения вируса, отключите все сетевые подключения (включая и Интернет), закройте все открытые окна Проводника, после чего при помощи Диспетчера задач завершите вредоносный процесс spoclsv.exe (не перепутайте с системным процессом spoolsv.exe);

 - используя программу Total Commander (предварительно включив в ней поддержку просмотра скрытых/системных папок и файлов) или Far Manager, удалите со всех дисков компьютера, а также с подключенных к нему СНИ, вредоносные файлы в корневых каталогах, а также системных подкаталогах:

%drivename%\autorun.inf
%drivename%\setup.exe
%drivename%\GameSetup.exe
%drivename%\Documents and Settings\All Users\Start Menu\Programs\Startup\GameSetup.exe
%windir%\Start Menu\Programs\Startup\GameSetup.exe
%windir%\Profiles\All Users\Start Menu\Programs\Startup\GameSetup.exe
%windir%\System32\drivers\spoclsv.exe

Если не удалить из корневых каталогов дисков файл-дроппер autorun.inf, то при прямом обращении к ним через Проводник (двойной щелчок на иконке диска в общем списке активных носителей) на экране появится одно из следующих окон, что зависит от версии Windows, установленных пакетов обновления и критических "заплаток" для модулей системного ядра:


или


После очистки от вируса компьютер необходимо перезагрузить, т.к. Проводник будет хранить в памяти имена всех заблокированных стационарных дисков вплоть до завершения текущего сеанса работы с системой (у съемных - например, USB Flash - до момента их отключения, т.е. достаточно просто вынуть из разъема заблокированную флэшку и вставить ее снова - блокировка пропадет). Это обусловлено использованием специальных потоков данных и некоторых временных ключей реестра (по соображениям безопасности не приводятся).

 - для разблокировки измененной вирусом настройки, связанной с показом в Проводнике скрытых/системных файлов и папок, а также для просмотра данных типов объектов, Вы можете воспользоваться соответствующей утилитой из спец. набора от VirusHunter'а, который можно скачать здесь.

Все созданные вирусом файлы Desktop_.ini можно выявить через системный поиск и удалить. Ключ реестра, созданный вирусом для автозапуска своей копии spoclsv.exe при каждом старте системы, можно не удалять.

С учетом потенциальной опасности, которую несет неконтролируемое считывание системой данных из вредоносных файлов autorun.inf, для пользователей Windows XP была разработана специальная утилита, выгружающая из системной памяти потоки данных, связанные со считыванием и выполнением инструкций из файлов autorun.inf. Данная утилита также добавлена в спец. набор от VirusHunter'а. Перед использованием утилиты настоятельно рекомендую прочитать прилагаемое к набору руководство пользователя, поскольку ее работоспособность зависит от некоторых системных условий.

Для обнаружения в будущем как известных, так и еще неизвестных вариантов скрипт-троянцев, позволяющих автоматически запускать вредоносный код при обращении Проводника к основному разделу жесткого диска компьютера, Вы можете воспользоваться утилитой №9 из набора VirusHunter'а - STSS (Stealth Trojan Script Searcher).

На данный момент разработаны и выложены на нашем сайте описания следующих вариантов данного вируса:

Win32.ChinaWorm


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 09.08.2007
Дата внесения последних изменений: 15.06.2008
Благодарности: пользователю Ковельскому Александру за сообщение дополнительной информации о вирусной деструкции в отношении GHO-файлов
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00180602073669