Trojan.PHP.Sysbat

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.PHP.Sysbat

Троянская программа. Имеет размер 1 951 байт. Написана на PHP.

Деструктивная активность

При запуске троянец открывает файл C:\Config.sys и проверяет в нем наличие строки: 

47hGHRHjkliliurpIOIPOIporipOOPOirujkJKLLJj<Xmorfic>HKGJD

Если строка отсутствует, троянец записывает в конец этого файла строки: 

47hGHRHjkliliurpIOIPOIporipOOPOirujkJKLLJj<Xmorfic>HKGJD
Xmorfic, www.shadowvx.com/bcvg, Second PHP VIRUS

Если строка присутствует, троянец проверяет наличие следующей строки в файле C:\Autoexec.bat: 

format c: /autotest /q /u

Если строка отсутствует, троянец записывает в C:\Autoexec.bat строки: 

ctty nul
format c: /autotest /q /u

Это приведет к форматированию диска C:\ при перезагрузке системы в случае если на компьютере пользователя установлена операционная система Windows 9x. После этого троянец в папке C:\Windows\Command ищет все файлы с расширением «.sys» и проверяет наличие в них строки Xmorfic_Vx. Если строка отсутствует троянец записывает в конец найденных файлов строку Xmorfic_VX_System_PHP_Infector!!

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить строки из файла C:\Autoexec.bat:
    3. ctty nul
format c: /autotest /q /u

Удалить строки из файла C:\Config.sys: 

47hGHRHjkliliurpIOIPOIporipOOPOirujkJKLLJj<Xmorfic>HKGJD
Xmorfic, www.shadowvx.com/bcvg, Second PHP VIRUS

В папке C:\Windows\Command найти все файлы с расширением «.sys» и удалить строку в конце этих файлов: 

Xmorfic_VX_System_PHP_Infector!!
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.PHP.Sysbat»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.