Trojan-Downloader.VBS.Agent.ah
Материал из Total Malware Info
Trojan-Downloader.VBS.Agent.ah Троянская программа, заражающая HTML, MP3 и HTT файлы. Программа является HTML-страницей, содержащей сценарий языка Visual Basic Script. Имеет размер 2076 байт.
Деструктивная активность
Тело троянца находится в зашифрованном виде в специально сформированной Web-странице. После активации троянец производит расшифровку своего кода и проверяет, запущен ли он с локального ресурса. Если троянец запущен с локального ресурса, то изменяются следующие значения параметров реестра для зоны Интернета 0:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1201" = "0" [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1201" = "0"
Таким образом, при следующих запусках Web-страниц со скриптами, создающими ActiveX объекты для работы с файлами, предупреждение о том, что код в данной странице пытается создать ActiveX объект не будет выведено, и троянец начнёт выполнение своих функций. Далее троянец производит рекурсивный поиск всех файлов со следующими расширениями:
*.html *.mp3 *.htt
В следующих каталогах:
%WinDir%\Web %Desktop% %MyDocuments%
Все найденные файлы троянец заражает своим телом.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Изменить значение параметров реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1201" = "1" [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1201" = "1"
