Trojan.BAT.Qrap
Материал из Total Malware Info
Trojan.BAT.Qrap Троянская программа, выполняющая уничтожение информации на компьютере пользователя. Программа является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 6908 байт. Содержит следующие строки:
Hard Drive Killer Pro Version 4.0, enjoy!!!! Author: Munga Bunga - from Australia, the land full of retarded Australian's (help me get out of here).
Инсталляция
Извлекается во временный каталог Windows троянцем Trojan-Dropper.Win32.Small.a:
%Temp%\hdkp_4.bat
После этого происходит запуск извлеченного файла.
Деструктивная активность
После запуска в консоли выводится сообщение:
PLEASE WAIT WHILE PROGRAM LOADS . . .
После этого происходит снятие файловых атрибутов "только чтение" и "скрытый" у файла autoexec.bat (файл, запуск которого происходит автоматически при наличии на компьютере пользователя OC Windows семейства 9x или операционной системы DOS), расположенного в корневом каталоге диска C:
C:\autoexec.bat
Дальше в этот файл дописываются строки, производящие быстрое форматирование логического диска C:. После этого происходит создание (или открытие существующего) в корневом каталоге диска C: файла temp.bat и установка ему файловых атрибутов "только чтение" и "скрытый":
C:\ temp.bat
В него помещаются команды, выполняющие рекурсивное создание 38 каталогов с указанным именем в корневом каталоге указанного логического диска. Дальше в файл autoexec.bat дописываются команды выполняющие:
- отображение на экран сообщения:
Loading Windows, please wait while Microsoft Windows recovers your system . . .;
Эти операции будут выполняться два раза, что должно обеспечить невозможность восстановления удаленных данных. После этого на экран будет выведено сообщение:
Welcome to the land of death. Munga Bunga's Multiple Hard Drive Killer version 4.0. If you ran this file, then sorry, I just made it. The purpose of this program is to tell you the following. . . 1. To make people aware that security should not be taken for granted. 2. Love is important, if you have it, truly, don't let go of it like I did! 3. If you are NOT a vegetarian, then you are a murderer, and I'm glad your HD is dead. 4. If you are Australian, I feel sorry for you, accept my sympathy, you retard. 5. Don't support the following: War, Racism, Drugs and the Liberal Party. Regards, Munga Bunga
После записи указанных строк в файл C:\autoexec.bat, происходит установка файловых атрибутов "только чтение" и "скрытый" для этого файла и файла C:\temp.bat. Дальше на всех логических дисках происходит рекурсивное удаление всех файлов (кроме скрытых и системных, таким образом файлы autoexec.bat и temp.bat в корневом каталоге диска C: не будут удалены), вызов командного файла temp.bat с именем папки для рекурсивного создания "Munga" и вывод следующих сообщений:
Initializing Variables . . . Validating Data . . . Analyzing System Structure . . . Initializing Application . . . Starting Application . . .
После этого на экран выводится сообщение:
Thank you for using a Munga Bunga product.
Oh and, Bill Gates rules, and he is not a geek, he is a good looking genius.
Here is a joke for you . . .
Q). What's the worst thing about being an egg?
A). You only get laid once.
HAHAHAHA, get it? Don't you just love that one?
Regards,
Munga Bunga
После перезагрузки системы будут выполнены действия, заложенные в файл autoexec.bat.
Рекомендации по удалению
- Удалить файл hdkp_4.bat из временного каталога Windows:
- Удалить файлы
%Temp%\hdkp_4.bat
C:\autoexec.bat C:\temp.bat
