Trojan.VBS.Enviar
Материал из Total Malware Info
Trojan.VBS.Enviar Троянская программа, нарушающая работоспособность компьютера. Имеет размер 4 905 байт. Написана на Visual Basic Script.
Инсталляция
При запуске троянец копирует свое тело в следующий файл:
c:\windows\java\java.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "gpvcwar" = "c:\windows\java\java.exe"
Деструктивная активность
В теле вируса содержится функция, при вызове которой троянец выполняются следующие действия:
- Удаляет файлы:
C:\WINDOWS\system32\calc.exe c:\windows\explorer.exe
c:\write.js
При запуске, которого выводится сообщение:
Йsta es la pбgina del virus programaciуn... This is the webpage of the programming virus Cet est la page du virus programacion NO PODЙS DESHACERTE DE ЙL YOU CANґT GIVE UP TO IT Hola, hello, bojour
- Cоpдате HTML - файл в корневом каталоге диска С: под именем programacion.html:
c:\programacion.html
йste es el virus programacion
[HKCU\Software\Microsoft\Keyboard] [HKCU\Software\Symantec\Norton AntiVirus]
Опасность данного троянца очень мала, так как он написан с ошибками.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключе реестра (как работать с реестром?):
- Удалить файлы:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "gpvcwar" = "c:\windows\java\java.exe"
c:\windows\java\java.exe c:\write.js c:\programacion.html
