Файлы Excel имеют аллергию на червя Dutan

Червь Dutan.A в первую очередь стремится уничтожить файлы, созданные с помощью электронной таблицы Excel.

Червь Dutan.A чаще всего передается на выбранные компьютеры через сетевые диски или съемные устройства хранения данных. Затем он создает несколько файлов и изменяет базу данных регистрации. Червь копирует по два файла на каждый доступный сетевой и съемный диск. Они передаются через один, содержащий вредоносное ПО, а другой обеспечивает автоматическую загрузку червя при переподключении запоминающих устройств.

Dutan.A сканирует все доступные файлы .xls на зараженных компьютерах и добавляет к ним случайную строку размером 2 КБ. Это может сделать файлы Excel непригодными для использования.

При запуске червь Dutan.A выполняет следующие действия:

1. Создайте следующие файлы:
   % System% \ winxpsp2.dll
   % System% \ csrsss.exe
   % System% \ svchosts.exe
2. Скопируйте следующие два файла в корневой каталог каждого сетевого и съемного диска:
   svchosts.exe
   autorun.inf
3. В базу данных регистрации добавляются следующие записи:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Microsoft OfficeTool" = "svchosts.exe"
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer,
   \MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
   = «Драйв»
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer,
   \MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
   = «Драйв»

4. Найдите файлы с расширением .xls, к которым вы добавляете произвольно собранную строку размером 2 КБ.