Trojan.VBS.SatanChild

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.SatanChild Троянская программа. Имеет размер 5 238 байт. Написана на Visual Basic Script.

Деструктивная активность

При активации троянец создает следующие ключи реестра:

  • Создает ветвь реестра:
    • [HKСU\Software\Microsoft\Satanik*Child]
"(default)" = "---====::SATANIK CHILD::====----"
  • Изменяет заголовок окна Internet Explorer:
    • [HKLM\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "==[OWNED by ]==  ----====:SATANIK CHILD:====----  ==[OWNED by ]=="

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "==[OWNED by ]==  ----====:SATANIK CHILD:====----  ==[OWNED by ]=="
  • Производит скрытия всех элементов на рабочем столе. Будут доступны только "Панель задач" и меню кнопки "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop" = "1"
  • Устанавливает стартовую страницу в IE:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://1nf3ky0ur**********0megs.com/oekrsh.htm
  • Изменяет версию, организацию и зарегистрированного владельца Windows:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion]
"Version" = "666"
"RegisteredOwner" = " S A T A N I K  C H I L D "
"RegisteredOrganization" = "EVIL VIRAL CREATIONZ"
  • Отключает защиту от выполнения макросов в MS Office 2000:
    • [HKCU\Software\Microsoft\Office\9.0\Word\Security]
"level" = "1"
  • Отключает защиту от выполнения макросов в MS Office 97:
    • [HKCU\Software\Microsoft\Office\8.0\Word\Options]
"EnableMacroVirusProtection" = "0"
  • Изменяет безопасность для зоны Интернета 0 и 3:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1004" = "0"
"1200" = "0"
"1201" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1004" = "0"
"1200" = "0"
"1201" = "0"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKСU\Software\Microsoft\Satanik*Child]
"(default)" = "---====::SATANIK CHILD::====----"

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "==[OWNED by ]==  ----====:SATANIK CHILD:====----  ==[OWNED by ]=="

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "==[OWNED by ]==  ----====:SATANIK CHILD:====----  ==[OWNED by ]=="

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://1nf3ky0ur**********0megs.com/oekrsh.htm

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"Version" = "666"
"RegisteredOwner" = " S A T A N I K  C H I L D "
"RegisteredOrganization" = "EVIL VIRAL CREATIONZ"
  3. Изменить значение параметра реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop" = "0"
  4. Восстановить в MS Office 2000 и MS Office 97 высокий уровень безопасности защиты от выполнения макросов.
  5. Восстановить безопасность для зоны Интернет 0 и 3.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.SatanChild»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.