Trojan.VBS.DelFile.b
Материал из Total Malware Info
Trojan.VBS.DelFile.b Троянская программа, устанавливающая в систему другие вредоносные программы. Имеет размер 5 835 байт. Написан на Visual Basic Script.
Инсталляция
При запуске троянец записывает в файл %WinDitr%\win.ini следующие строки:
load=SystemServices.vbs run=windows.vbs
т.о, при следующей загрузке системы запустятся файлы из переменной окружения Path:
SystemServices.vbs windows.vbs
Для автоматического запуска импорта настроек реестра из файла c:\windows\system\system.dll, троянец добавляет ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "system" = "regedit -s c:\windows\system\system.dll"
Деструктивная активность
Троянец удаляет файлы со следующих каталогов (пути заданы строго):
c:\windows\win.dll c:\windows\mwin.dll c:\windows\mwin.exe c:\windows\mywin.exe c:\windows\Internet.dll c:\windows\Internet.exe c:\windows\system\Internet.dll c:\windows\system\Internet.exe c:\windows\system\intenet.dll c:\windows\system\zwupdows.dll c:\windows\system\zxdows.dll
Затем троянец получает путь к динамической библиотеке DLL:
c:\windows\system\zxdoms.dll
и заменяет ее на:
c:\windows\system\zxdoms.dll (1 820 байт, детектируется Антивирусом Касперского, как Trojan.WinREG.StartPage)
Далее троянец копирует файл c:\windows\system\zxdoms.dll в:
c:\windows\system\system.dll
и удаляет файл:
c:\windows\stup.vbs
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл **** (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ реестра:
- Удалить файл:
- Открыть файл %WinDitr%\win.ini и удалить в нем строки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "system" = "regedit -s c:\windows\system\system.dll"
c:\windows\system\system.dll
load=SystemServices.vbs run=windows.vbs
