Trojan.VBS.Momento

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.Momento Троянская программа, нарушающая работоспособность компьютера. Имеет размер 2 320 байт. Написана на Visual Basic Script.

Инсталляция

При запуске троянец копирует свое тело в корневой каталог диска С: под именем Antrax.vbs: 

С:\Antrax.vbs

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Antrax" = "C:\Antrax.vbs"

Деструктивная активность

Троянец копирует свое тело в корневой каталог диска A: под случайно выбранным именем: 

Antrax
BillGates
MSN-Games
Messenger

Далее троянец изменяет сообщение, всплывающее в начале работы "Windows Messenger" изменяя параметр в ключе реестра: 

[HKLM\Software\Microsoft\MessengerService\Policies]
"IMWarning" = "Antrax ---> Realmente hoy es un buen dia"

Создает файл командного интерпретатора Antrax.bat в корневом каталоге диска С: и записывает в него строки: 

@echo off
echo.En estos momentos tu ordenador esta infectado con el virus: Antrax.vbs
echo.Lo mas seguro esque tu Internet Explorer este infectado y tengo que
echo.advertirte que te compres un disco duro nuevo, ya que el que tienes ahora
echo.lo estoy rellenando con archivos inutiles.
pause
cls
echo.Adios, recive un cordial saludo de: Antrax
echo.REALMENTE HOY ES UN BUEN DIA

Далее троянец изменяет значения параметров в ключе реестра:

  • Изменяет стартовую страницу Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "javascript:alert("Hoy es un buen dia!!  :-)")"
  • Изменяет заголовок окна Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window title" = "Programa infectado con ANTRAX"

Если текущая дата и месяц в сумме дает 13, то троянец в бесконечном цикле запускает: 

%WinDir%\Notepad.exe

Иначе в бесконечном цикле создает в каталоге: 

C:\Windows\Escritorio\Pruevas\

Файлы с номерами с именем <порядковый_номер> и расширениями: 

*.bmp
*.com
*.dll
*.bat

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс:
    2. WSCRIPT.EXE
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Antrax" = "C:\Antrax.vbs"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "javascript:alert("Hoy es un buen dia!!  :-)")"
"Window title" = "Programa infectado con ANTRAX"
  4. Удалить файлы:
    5. С:\Antrax.vbs
С:\Antrax.bat
  5. Удалить каталог:
    6. C:\Windows\Escritorio\Pruevas\
  6. Найти и удалить все файлы на диске А:\ с именами:
    7. Antrax
BillGates
MSN-Games
Messenger
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.Momento»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.