Джесси: Windows - это червь-убийца

Червь Jesse, проникающий через MSN Messenger, наносит очень серьезный ущерб зараженным системам и выводит из строя Windows.

Червь Jesse в первую очередь пытается заразить как можно больше компьютеров через MSN Messenger. Червь копирует файлы в корневых каталогах дисков «С» и «А», а затем удаляет исходные файлы. После этого он вносит множество изменений в реестр и предотвращает открытие окон, связанных с диспетчером задач, панелью управления, редактором реестра и другими системными функциями.

После завершения своих вредоносных операций Джесси перезагружает компьютер, но Windows на этом компьютере не сможет снова загрузиться из-за удаленных файлов и других модификаций.

При запуске червь Jesse выполняет следующие действия:

1. Создайте следующий файл
%System%\drivers\etc\jesse.exe.

2. Он проверяет файлы в корневых каталогах дисков A и C. Он делает копию каждого из файлов там с расширением exe, а затем удаляет исходные файлы.

3. Создайте следующие файлы:
А:\Автор.txt
C:\Автор.txt
%System%\Antlist.bat
%System%\win_nt.bat
%System%\systemwork.bat

4. Измените регистрационную базу данных.
HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
включен в ключ
«ДисаблеТаскМгр» = «1».
Это сделает диспетчер задач Windows недоступным.

5. Регистрационная база данных
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
добавляет к твоему ключу
«a» = «%System%\drivers\etc\jesse.exe».

6. Регистрационная база данных
HKEY_CURRENT_USER\Software\Настройки программы VB и VBA\day\\\umber
добавляет к твоему ключу
«день» = значение «[…]».

7. Регистрационная база данных
HKEY_CURRENT_USER\Software\Настройки программы VB и VBA\ok\jessy
добавляет к твоему ключу
«вирус» = значение «инфектадо».

8. Останавливает процессы, связанные с программным обеспечением безопасности.

9. Пытается закрыть окна диспетчера задач, панели управления, редактора реестра и других системных функций.

10. Появится окно сообщения с заголовком «PROMOCION TELCEL» или «Защита».

11. Делает окно MSN Instant Messenger недоступным.

12. Удаляет следующие ключи базы данных реестра:
HKEY_LOCAL_MACHINE\программное обеспечение\микрософт
HKEY_LOCAL_MACHINE\оборудование
HKEY_CURRENT_USER\программное обеспечение\микрософт
HKEY_CURRENT_USER\оборудование

13. Вы перезагружаете компьютер, но Windows больше не может перезагрузиться.