Trojan.VBS.Chita

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.Chita Троянская программа, нарушающая работоспособность компьютера. Имеет размер 1 548 байт. Написана на Visual Basic Script.

Инсталляция

При запуске троянец копирует свое тело в системный каталог Windows под именем Chikita.vbs: 

%System%\Chikita.vbs

Также копирует свое тело в корневой каталог диска А: под одним из следующих имен: 

Juegos.exe
Chistes.doc
Videos.avi
Chikita.jpg

Для автоматического запуска при следующем старте системы троянец создает ветвь реестра, в которую добавляет ссылку на свой исполняемый файл: 

[HKLM\Software\Microsoft\Windows\Run]
"Chikita" = "%System%\Chikita.vbs"
"WinLinux" = "C:\Chikita.bat"

Деструктивная активность

Если доступен съемный диск А:, то троянец удаляет все его содержимое. Далее троянец изменяет сообщение, всплывающее в начале работы "Windows Messenger" изменяя параметр в ключе реестра: 

[HKLM\Software\Microsoft\MessengerService\Policies]
"IMWarning" = "Messenger crackeado por (F) Chikita (F) "

Троянец создает файл командного интерпретатора в корневом каталоге диска С: 

С:\Chikita.bat

В который записывает строки: 

@echo off
echo.Lo siento mucho pero estas infectado con el virus Chikita
echo.Este virus no destruye ningun tipo de archivo ni formatea el PC
echo.
echo.Este virus solo ha sido creado con el unico fin de expandirse
echo.Si tienes algun diskete en el PC, el virus se abra copiado en el.
echo.
pause
cls
echo.Gracias por tu colaboracion. Adios
echo.
echo.Un besito, de parte de Chikita

После чего в бесконечном цикле запускает Notepad.exe, что приводит к зависанию компьютера. 

%WinDir%\Notepad.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс:
    2. WSCRIPT.EXE
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ветвь реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\Run]
"Chikita" = "%System%\Chikita.vbs"
"WinLinux" = "C:\Chikita.bat"
  4. Удалить файлы:
    5. %System%\Chikita.vbs
С:\Chikita.bat
  5. Произвести поиск и удаление файлов на съемном диске А: со следующими именами:
    6. Juegos.exe
Chistes.doc
Videos.avi
Chikita.jpg
  6. Изменить значение параметра реестра(как работать с реестром?):
    7. [HKLM\Software\Microsoft\MessengerService\Policies]
"IMWarning"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.Chita»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.