Trojan-DDoS.Win32.VB.j
Материал из Total Malware Info
Содержание |
Trojan-DDoS.Win32.VB.j
Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Программа является приложением Windows (PE EXE-файл). Имеет размер 142860 байт. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WinDir%\\winlogon.exe"
Деструктивная активность
После запуска троянец извлекает из своего тела библиотеку Visual Basic под именем "Mswinsck.ocx". Данный файл имеет размер 124688 байт и помещается в каталог Windows:
%WinDir%\Mswinsck.ocx
Кроме того, в тот же каталог извлекается исполняемый файл "winlogon.exe":
%WinDir%\winlogon.exe
Данный файл имеет размер 18150 байт и детектируется Антивирусом Касперского как Trojan-DDoS.Win32.VB.j. После успешного извлечения управление передается извлеченному вредоносному файлу. Данный троянец имеет возможность организовывать следующие типы атак:
- Apache DDoS
- UDP DDoS
- ICMP DDoS
- HTTP DDoS
Тип и объект атаки задается злоумышленником удаленно. Кроме того, троянец может обновляться по команде злоумышленника.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- При помощи системного реестра заменить ключ:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %WinDir%\\winlogon.exe"
на
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe"
- Перезагрузить компьютер.
- Удалить файл, созданный троянцем:
%WinDir%\winlogon.exe
