Trojan-Downloader.VBS.Agent.fq

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.VBS.Agent.fq Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является файлом сценария языка Visual Basic Script. Имеет размер 11881 байт.

Инсталляция

Тело троянца находится в зашифрованном виде в специально сформированном сценарии языка Visual Basic Script.После активации троянец производит расшифровку своего тела копирует свое тело в следующие каталоги: 

%System%\`.vbe
%System%\`.ini
c:\`.vbs

Также троянец создает файлы для автоматического запуска своего тела: 

C:\autorun.inf
%System%autorun.inf

Далее файлом присваиваются атрибуту "скрытый" и "архивный". Троянец изменяет следующие параметры в ключах системного реестра:

  • Добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"explorer" = "`.vbe "
  • Скрывает защищенные системные файлы:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "00000000"

Деструктивная активность

Используя уязвимость в ActiveX компоненте "XMLHTTP", троянец загружает файл со следующего URL: 

http://hgz.d*******23.cn/wan.asp

На момент создания описания ссылка не работала. Используя уязвимость в ActiveX компоненте "ADODB.Stream" троянец сохраняет скачанный файл в системный каталог Windows под именем "temp.txt": 

%System%\temp.exe

Далее устанавливает файлу атрибуту "скрытый" и "архивный". После чего файл запускается на выполнение. Троянец копирует свое тело на все доступные сетевые и съемные диски: 

`.vbs

и создает файл "autorun.inf" для автоматического запуска тела троянца. Далее файлом присваиваются атрибуту "скрытый" и "архивный".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    3. %System%\temp.exe
%System%\`.vbe
%System%\`.ini
c:\`.vbs
C:\autorun.inf
%System%autorun.inf
  3. Удалить параметр в ключе реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"explorer" = "`.vbe "
  4. Очистить каталог (<a href=http://www.k******ky.ru/faq?chapter=186784895&qid=153219411">Как удалить инфицированные файлы в папке Temporary Internet Files?</a>):
    5. %Temporary Internet Files%
  5. На всех сетевых и съемных дисках произвести поиск и удаление файлов:
    6. `.vbs
autorun.inf
  6. Отключить уязвимый ActiveX объект (Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer).
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.VBS.Agent.fq»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.