(INF/Slogod.A, VBS.Flesh.A, VBS/Butsur, VBS/IE-Title, VBS/Slogod, VBS/Solow, VBS_SOLOW.A, Worm.VBS.Solow.A, Worm.VBS.Solow.a)
Тип вируса: Червь, написанный на языке Visual Basic Script

Уязвимые ОС: Win95/98/Me/2000/XP

Размер файла: 1 906, 3 642

Упакован: Unicode

Техническая информация

# Известны две модификации данной вредоносной программы.

# При своём запуске выполняет следующие действия:

1. Создаёт свои копии в корневом каталоге логических дисков и каталоге Windows с именем MS32DLL.dll.vbs и атрибутом "Скрытый".
2. Создаёт файл autorun.inf, в котором указывается исполнение MS32DLL.dll.vbs при переходе на другой логический диск в файловом менеджере. Таким образом, в контекстном меню дисков будет главным пунктом будет "Автозапуск".
3. Копирует файлы MS32DLL.dll.vbs и autorun.inf на flash-накопители, если таковые оказались подключёнными к компьютеру на момент заражения.
4. Модифицирует системный реестр для обеспечения автозапуска своей копии:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS32DLL

C:\WINDOWS\MS32DLL.dll.vbs
Вторая модификация VBS.Generic.544 модифицирует системный реестр следующим образом:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fucker C:\WINDOWS\fucker.vbs

5. Во все активные окна Internet Explorer вставляет строку "Hacked by Godzilla".
Во второй модификации VBS.Generic.544 вместо "Hacked by Godzilla" присутствует строка "Malaysian Hackers"

Информация по восстановлению системы

Восстановить реестр можно с помощью следующего сценария:

--8<------------------------------------------------------------------
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Window Title"=-

--8<------------------------------------------------------------------

Необходимо создать .reg-файл, содержащий указанный сценарий и запустить его на исполнение. При этом необходимые изменения будут внесены в реестр.
Взято с http://vms.drweb.com/virus/?i=133546