Trojan.JS.Runner

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.JS.Runner

Троянская программа, производящая деструктивные действия на зараженном компьютере. Является сценарием JavaScript.

Деструктивная активность

При запуске троянская программа создает файл в каталоге автозагрузки: 

%Startup%\ON.hta

Данный файл содержит вредоносный сценарий, который производит следующие деструктивные действия:

  • Создает файлы:
    • %WinDir%\lcoder.hex
%WinDir%\onz.hex
%WinDir%\short.src (содержит ассемблерный листинг программы).
  • Далее файл  %WinDir%\short.src с помощью утилиты debug.com компилируется в исполняемый файл short.com и запускается:
    • %WinDir%\short.com
  • Результатом выполнения есть компиляция файла %WindDir%\lcoder.hex в исполняемый файл lcoder.exe:
    • %WinDir%\Lcoder.exe
  • Далее, используя для промежуточных команд файл %WinDir%\test.txt, файл %WinDir%\onz.hex утилитой lcoder.exe раскодируется в файл:
    • %Work%\onz.exe (4 608 байт, детектируется Антивирусом Касперского, как Backdoor.Win32.TheThing.16.b)
  • После этого созданное приложение запускается:
    • %WinDir%\short.com
  • Далее происходит удаление файлов:
    • %WinDir%\Lcoder.exe
%WinDir%\lcoder.hex
%WinDir%\onz.hex
%WinDir%\short.com
%WinDir%\short.src
%WinDir%\test.txt

Рекомендации по удалению

  1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %Startup%\ON.hta
%WinDir%\Lcoder.exe
%WinDir%\lcoder.hex
%WinDir%\onz.hex
%Work%\onz.exe
%WinDir%\short.com
%WinDir%\short.src
%WinDir%\test.txt
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.JS.Runner»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.