Trojan.VBS.Lowjo.c

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.Lowjo.c Троянская программа, наносящая вред исполняемым фалам, библиотекам DLL и личной информации пользователя. Имеет размер 2 223 байта. Написан на Visual Basic Script.

Инсталляция

При запуске троянец копирует свое тело в системный каталог Windows: 

%System%\MSKernel.vbs

а также в корневой каталог Windows под именем Win32Dll.vbs: 

%WinDir%\Win32Dll.vbs

Для автоматического запуска при следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32" = "%System%\MSKernel32.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32Dll" = "%WinDir%\Win32Dll.vbs"

Деструктивная активность

Если установлен запрет на обработку скрипов, то троянец, изменяя следующий параметр реестра, разрешает ее: 

[HKLM\Software\Microsoft\Windows Script Host\Settings]
"Timeout" = "0"

Устанавливает стартовую страницу в браузере Internet Explorer, изменяя значения следующего параметра реестра: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://www.hziee.edu.cn

Далее троянец производит поиск на жестком диске всех файлов с расширениями: 

*.exe
*.dll
*.dat
*.mp3
*.doc
*.mp3

Если у найденных файлов атрибуты: "только чтение", "системный", "папка", "только чтение + системный + скрытый", "архивный + только чтение", ""архивный + только чтение + скрытый", "архивный + системный + только чтение", "архивный + системный + скрытый + только чтение", то троянец снимает атрибут "только чтение". Если у найденных файлов атрибуты: "метка диска", "папка", "архивный", "только чтение + системный + скрытый", "архивный + системный", " архивный + системный + скрытый", то троянец снимает атрибут "метка диска". Далее троянец производит попытку удаления всех найденных файлов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключи реестра:
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32" = "%System%\MSKernel32.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32Dll" = "%WinDir%\Win32Dll.vbs"
  3. Удалить файлы:
    4. %System%\MSKernel.vbs
%WinDir%\Win32Dll.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.Lowjo.c»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.