Podczas swego działania jest w stanie zmienić tapetę systemu, gdzie na niebieskim tle zobaczymy czerwony napis:
WARNING!
YOUR'RE IN DANGER!
YOUR COMPUTER IS INFECTED WITH SPYWARE!
ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK.
WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES
Ponadto kończy działanie programów i może próbować łączyć się z adresem 195.3.147.14/insta
Próbuje następnie uruchomić plik
%SystemDrive%\Documents and Settings\All Users\Application Data\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS].exe
Tworzy plik:
%SystemDrive%\Documents and Settings\All Users\Application Data\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]
Później przeprowadza modyfikację rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]" = "%SystemDrive%\Documents and Settings\All Users\Application Data\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS].exe"
Może próbować stworzyć następujące pliki:
* %UserProfile%\Start Menu\Programs\System Tool 2011.lnk
* %UserProfile%\Start Menu\Programs\SystemTool2011.lnk
* %UserProfile%\Start Menu\Programs\System Tool\System Tool 2011.lnk
* %UserProfile%\Start Menu\Programs\System Tool\SystemTool2011.lnk
* %UserProfile%\Desktop\System Tool 2011.lnk
* %UserProfile%\Desktop\SystemTool2011.lnk
Usuwanie SystemTool 2011
1. Wyłącz przywracanie systemu
2. Aktualizuj oprogramowanie antywirusowe.
3. Przeprowadź skanowanie dysku.
4. Usuń wartości z rejestru:
Kod: Zaznacz cały
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]" = "%SystemDrive%\Documents and Settings\All Users\Application Data\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS]\[FIVE RANDOM LETTERS][FIVE RANDOM NUMBERS].exe"
Źródło: Symantec
W razie wykrycia tego programu napisz temat na Naszym forum w dziale Bezpieczeństwo. Z chęcią pomożemy się jego pozbyć.