Trojan.VBS.Panamas.a

Материал из Total Malware Info

Trojan.VBS.Panamas.a Троянская программа, осуществляющая злонамеренную модификацию данных на компьютере пользователя. Имеет размер 1 956 байт. Распространяется встраиванием в WEB-страницы. Написан на Visual Basic Script.

Деструктивная активность

При запуске троянец изменяет значения параметра реестра таким образом, что IE не выводит предупреждающее сообщение о том, что код в данной странице пытается создать элемент управления ActiveX:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
"1201"= "0"

Далее троянец в каталогах (путь задан строго):

C:\Windows\Desktop
C:\My Documents
C:\Inetpub\wwwroot
C:\Program Files\SoftIce\EZpad 3.0\templates

Во все файлы с расширениями:

*.htm
*.html
*.asp
*.htx
*.hta

Записывает HTML-страницу с сообщением:

a message from kefi

Если текущая дата с 1 по7 число каждого месяца, то троянец:

• создает стартовую страницу в IE, изменяя параметр реестра:

[HKLM\Software\Microsoft\Internet Explorer\Main]
Start_Page = Http://www.newbain.com

• изменяет зарегистрированного владельца Windows:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner]
"(default)" = "Kefi"

Далее открывает в браузере URL:

http://www.newbain.com

После чего в бесконечном цикле отображает следующее сообщение:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи «Диспетчера задач» завершить процесс:

WSCRIPT

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Internet Explorer\Main]
Start_Page = Http://www.newbain.com

4. Изменить зарегистрированного владельца Windows.