вирус название

Ответ от NeON[гуру]
Email-Worm.Win32.Brontok.q («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки» .
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions"="1"
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%Local SettingsApplication Data) и копирует свое тело в этот каталог под следующими именами:
%UserProfile%Local SettingsApplication Datar<случайный номер>on.exe
%UserProfile%Local SettingsApplication Datacsrss.exe
%UserProfile%Local SettingsApplication Datainetinfo.exe
%UserProfile%Local SettingsApplication Datalsass.exe
%UserProfile%Local SettingsApplication Dataservices.exe
%UserProfile%Local SettingsApplication Datasmss.exe
%UserProfile%Local SettingsApplication Datasvchost.exe
%UserProfile%Local SettingsApplication Datawinlogon.exe
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
%WinDir%sembako-<случайные символы>.exe
в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:
%WinDir%ShellNewbm-<случайные символы>.exe
и в системный каталог Windows (%System%) под следующими именами:
%System%DXBLBO.exe
%System%cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
%UserProfile%\%Autorun%Empty.pif
в каталог шаблонов документов:
%UserProfile%Шаблоны<случайный номер>-NendangBro.com
и в каталог «Мои рисунки» каталога документов текущего пользователя:
%MyPictures%Мои рисунки. exe
Удалить через тотал командер вручную.