Trojan.JS.Small.n

Материал из Total Malware Info

Trojan.JS.Small.n Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария языка Java Script. Имеет размер 2006 байт.

Инсталляция

После запуска троянец копирует свой исполняемый файл под именем "virus.js" в следующие каталоги:

C:\virus.js
C:\Program Files\virus.js
C:\Documents and Settings\virus.js

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Java" = "C:\virus.js"

Деструктивная активность

После этого вредонос вносит следующие изменения в ключи системного реестра:

• Блокирует доступ к Диспетчеру задач Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "dword:00000001"

• Запрещает запуск редактора реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

• Скрывает все элементы на Рабочем столе Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop" = "dword:00000001"

• Скрывает команду "Завершение работы" в меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "dword:00000001"

• Блокирует модификации, производимые по принципу drag-and-drop в меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoChangeStartMenu" = "dword:00000001"

• Скрывает пункт "Все программы" в меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuMorePrograms" = "dword:00000001"

• Скрывает пункт "Панель управления" в меню "Пуск":

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoControlPanel" = "dword:00000001"

• Отключает вызов контекстного меню:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" = "dword:00000001"

• При загрузке Windows будет выводиться окно с заголовком и текстом, которые соответствуют двум следующим параметрам ключа системного реестра:

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "Windows System Files Protection Service"
"LegalNoticeText" = "Компьютер заражён вирусом! Рекомендуется выполнить антивирусную проверку прямо сейчас!"

• Устанавливает цвет для всех ссылок:

[HKCU\Control Panel\Colors]
"HotTrackingColor" = "255 0 0"

Далее троянец приостанавливает свою работу на 2 минуты, после чего выполняет команду перезагрузки компьютера.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Выполнить следующую команду в командной строке для доступа редактора реестра:

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Java" = "C:\virus.js"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "dword:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop" = "dword:00000001"
"NoClose" = "dword:00000001"
"NoChangeStartMenu" = "dword:00000001"
"NoStartMenuMorePrograms" = "dword:00000001"
"NoControlPanel" = "dword:00000001"
"NoViewContextMenu" = "dword:00000001"

[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "Windows System Files Protection Service"
"LegalNoticeText" = "Компьютер заражён вирусом! Рекомендуется выполнить антивирусную проверку прямо сейчас!"

[HKCU\Control Panel\Colors]
"HotTrackingColor" = "255 0 0"