Trojan.VBS.Dayumi

Материал из Total Malware Info

Trojan.VBS.Dayumi Троянская программа. Имеет размер 1 076 байт. Написана на Visual Basic Script.

Инсталляция

При активации троянец копирует свое тело в системный каталог Windows (путь задан строго):

c:\windows\system\mskernel32.vbs

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32" = "c:\windows\system\mskernel32.vbs"

Деструктивная активность

Встроенными средствами скриптового языка троянец получает путь к системному каталогу Windows. После чего в каталоги "desktop" и "favorites" записывает файл-ссылку на Интернет ресурс (http://go.****com/~dayumi"):

%System%\desktop\ ЎѕРВАЛКЧТіЎї.URL
%System%\favorites\ ЎѕРВАЛКЧТіЎї.URL

Далее изменяет стартовую страницу в Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://go.****com/~dayumi"

(на момент создания описания ссылка не работала). При наличии в системе файла c:\windows\Start Menu\Programs\Жф¶Ї\office200.hta, троянец удаляет его.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить параметры в ключах реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32" = "c:\windows\system\mskernel32.vbs"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://go.****com/~dayumi"