Файлы Excel имеют аллергию на червя Dutan
Червь Dutan.A в первую очередь стремится уничтожить файлы, созданные с помощью электронной таблицы Excel.
Червь Dutan.A чаще всего передается на выбранные компьютеры через сетевые диски или съемные устройства хранения данных. Затем он создает несколько файлов и изменяет базу данных регистрации. Червь копирует по два файла на каждый доступный сетевой и съемный диск. Они передаются через один, содержащий вредоносное ПО, а другой обеспечивает автоматическую загрузку червя при переподключении запоминающих устройств.
Dutan.A сканирует все доступные файлы .xls на зараженных компьютерах и добавляет к ним случайную строку размером 2 КБ. Это может сделать файлы Excel непригодными для использования.
При запуске червь Dutan.A выполняет следующие действия:
- Создайте следующие файлы:
% System% \ winxpsp2.dll
% System% \ csrsss.exe
% System% \ svchosts.exe - Скопируйте следующие два файла в корневой каталог каждого сетевого и съемного диска:
svchosts.exe
autorun.inf - В базу данных регистрации добавляются следующие записи:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Microsoft OfficeTool" = "svchosts.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer,
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
= «Драйв»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer,
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
= «Драйв»
4. Найдите файлы с расширением .xls, к которым вы добавляете произвольно собранную строку размером 2 КБ.