Trojan.JS.ExitW.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.JS.ExitW.a Троянская программа. Является сценарием JavaScript.

Инсталляция

Распространяется встраиванием в WEB-страницы.

Деструктивная активность

Троянец устанавливает значение параметра реестра 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1",

таким образом, запрещая редактирование реестра. Прописывает в ключе автозапуска завершение работы Windows: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll"="%WinDir%\rundll32.exe user,ExitWindows"

Изменяет иконку для файлов JavaScript: 

[HKCR\JSFile\DefaultIcon]
"default" ="%WinDir%\SYSTEM\shell32.dll,-154"

Меняет заголовок браузера Internet Explorer: 

[HKLM\Software\Microsoft\Windows\Internet Explorer\Main]
"WindowTitle"="Orixuss"

Также устанавливает следующие значение параметра реестра: 

[HKCR\JSFile]
"default"= "System File"

Затем троянец удаляет из текущего каталога файл: 

%CurrentDir%\kernel.sys.js

и запускает команду: 

rundll32.exe user,ExitWindows.

Рекомендации по удалению

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры реестра:
    3. [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1",

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll"="%WinDir%\rundll32.exe user,ExitWindows"
  3. Изменить значения параметров реестра:
    4. [HKCR\JSFile\DefaultIcon]
"default" ="%SystemRoot%\System32\WScript.exe,3"

[HKCR\JSFile]
"default"= " JScript Script File"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.JS.ExitW.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.