Backdoor.VBS.Dmin.a
Материал из Total Malware Info
Backdoor.VBS.Dmin.a Троянская программа, выполняющая деструктивные действия на компьютере пользователя . Программа является файлом сценария языка Visual Basic Script. Имеет размер 16076 байт.
Инсталляция
При активации бэкдор копирует свое тело в системный и корневой каталог Windows:
%System%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%WinDir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
Также бэкдор копирует свое тело в корень всех доступных логических дисков под именем:
{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
После чего в корне логического диска бэкдор создает файл:
AutoRun.inf
Данный файл имеет размер 143байта. Он будет запускать файл "{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs" при открытии проводником доступных логических дисков. Для автоматического запуска при каждом следующем старте системы бэкдор добавляет ссылки на свои исполняемые файлы в ключи автозапуска системного реестра:
- Тело бэкдора загружается минимизированным после входа в систему:
[HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows]
Load = %System%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
[HKLM\Software\Classes\txtfile\shell\open\command]
"(default)" = "%SystemRoot%\System32\WScript.exe "%WinDir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs" %1 %*"
Деструктивная активность
Бэкдор создает поток, который каждые 10 секунд завершает следующие процессы:
ras.exe 360tray.exe taskmgr.exe regedit.exe msconfig.exe SREng.exe USBAntiVir.exe
Если на зараженной системе установлен запрет на обработку скриптов, то бэкдор разрешает ее создавая параметр в ключе реестра:
[HKCU\Software\Microsoft\Windows Scripting Host\Settings] "Timeout" = "0"
На всех доступных логических сетевых и съемных дисках бэкдор производит рекурсивный поиск 150 файлов с расширениями:
*.htm *.html *.asp *.vbs
В найденные файлы бэкдор записывает свое тело. Далее бэкдор производит поиск файлов с расширениями:
*.mpg *.rmvb *.avi *.rm
Если в найденных файлах находится порно содержание, то бэкдор удаляет их. Также бэкдор изменяет значения параметров ключей реестра:
- Включает автозапуск для всех типов накопителей:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun" = "129"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "0"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи командной строки завершить процесс:
- Удалить оригинальный файл бэкдора (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Произвести поиск и удаление всех файлов с именем:
- Удалить в корне всех логических дисков файл:
- Удалить значение параметрасистемного реестра:
- Восстановить значения параметровсистемного реестра:
WSCRIPT.EXE
%System%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%WinDir%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
AutoRun.inf
[HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows]
Load = %System%\{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
[HKLM\Software\Classes\txtfile\shell\open\command] "(default)" = "%SystemRoot%\system32\NOTEPAD.EXE %1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun" = "149" [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = "0" [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "0"
