Worm.Win32.AutoRun.bix

Имя файла: fnexsjs.exe
Размер: 24,6 Кб
http://www.virustotal.com/ru/analisis/366c1b1ad51d3fd7ea8c3109e0e7b8e6
http://www.threatexpert.com/report.aspx?md5=16802528a2e57daa1179c67ad15bd485
Файл упакован Upack. После распаковки размер ~ 150 Кб. Написан на Delphi. Качество кода отвратительное. Файл оказался китайским вирусом, написанным на делфи, логика работы соответствующая… Делает следующие: копирует себя в папки “Common Files\System\” и “Common Files\Microsoft Shared\”, копируется на все диски в качестве autorun(для этого перебирает все буквы), inf файл такого вида:
[AutoRun]
open=fnexsjs.exe
shell\open=ґтїЄ(&O)
shell\open\Command=fnexsjs.exe
shell\open\Default=1
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=fnexsjs.exe
,отключает показ скрытых файлов, прописывается в автозапуск, отключает некоторые сервисы (wscsvc, helpsvc, wuauserv, SharedAccess), не дает перезагрузится в безопасный режим, по заголовку окна убивает некоторые процессы (диспетчер процессов, IceSword и т.д.), ставит себя отладчиком при старте некоторых файлов (Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\) и еще уйма китайского кода. Возможные китайские названия: "the AV End", "Animal Virus", "the Kind of AV End". Командный центр: www.webweb.com.