Trojan-DDoS.Win32.VB.i
Материал из Total Malware Info
Содержание |
Trojan-DDoS.Win32.VB.i
Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Программа является приложением Windows (PE EXE-файл). Имеет размер 309471 байт. Упакована при помощи FSG. Распакованный размер — около 550 КБ. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WinDir%\\winlogon.exe"
Деструктивная активность
После запуска троянец извлекает из своего тела библиотеку Visual Basic под именем "Mswinsck.ocx". Данный файл имеет размер 124688 байт и помещается в каталог Windows:
%WinDir%\Mswinsck.ocx
Кроме того, в тот же каталог извлекается исполняемый файл "winlogon.exe":
%WinDir%\winlogon.exe
Данный файл имеет размер 184761 байт и детектируется Антивирусом Касперского как Trojan-DDoS.Win32.VB.i. После успешного извлечения управление передается извлеченному вредоносному файлу. Данный троянец имеет возможность организовывать следующие типы атак:
- Apache DDoS
- UDP DDoS
- ICMP DDoS
Тип и объект атаки задается злоумышленником удаленно.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи системного реестра заменить ключ:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WinDir%\\winlogon.exe"
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe"
- Перезагрузить компьютер.
- Удалить файл, созданный троянцем:
%WinDir%\winlogon.exe
