Trojan.JS.Distance

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.JS.Distance Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является HTML-файлом.

Инсталляция

Троянская программа создает файл в системном каталоге Windows: 

%System%\virus.vbs

содержащий вредоносный сценарий VBScript. Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"vbs"="wscript %System%\virus.vbs"

Деструктивная активность

Получает из ключа реестра путь к папке КЭШа Explorer: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders]
"Cache"

Далее удаляет параметр реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"vbs"

Создает параметр реестра для автоматического запуска при следующем старте системы файла virus.exe: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"tmp" = "virus.exe"

Ищет в каталоге %Cache% и вложенных каталогах файл: 

a.bmp

Если такой файл существует, копирует его в файл: 

%Temp%\vir.dat

После чего исходный файл удаляется. Далее скрипт создает файл: 

%Temp%\tmp.in

содержащий команды для отладчика "debug.com". После создания отладчик запускается в командной строке, получая в качестве входного параметра файлы: 

%Temp%\vir.dat
%Temp%\vir.in

Результат работы программы сохраняется в файл: 

%Temp%\vir.out

который далее записывается в системный каталог под именем virus.exe: 

%System%virus.exe

После этого троянец удаляет файлы: 

%Temp%\vir.dat
%Temp%\vir.in
%Temp%\vir.out

Рекомендации по удалению

  1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %System%\virus.vbs
%Temp%\tmp.in
%System%virus.exe
  4. Удалить параметры реестра:
    5. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"tmp" = "virus.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.JS.Distance»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.