Trojan.VBS.Small.d

Материал из Total Malware Info

Trojan.VBS.Small.d Троянская программа, нарушающая работоспособность компьютера. Имеет размер 1 601 байт. Написана на Visual Basic Script.

Инсталляция

При запуске троянец копирует свое тело в следующие каталоги (путь задан строго):

C:\Windows\win32.vbs
C:\Windows\System32\bagy32.vbs
C:\Windows\System32\taskmgr.vbs

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"KAV04" = "C:\Windows\System32\bagy32.vbs"

Деструктивная активность

Если текущая дата 1, 3, 5, 7, 9, 11 или 25 число, то троянец создает параметр в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DisableKeyboard" = "Rundll32.exe Keyboard,Disable"

Что приведет к отключению клавиатуры после перезагрузки Windows. Если текущая дата 20 число, троянец в бесконечном цикле отображает сообщение:

[[Image:Picture: Trojan.VBS.Small.d.png|center|Virus creation system]]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") процесс:

WSCRIPT.EXE

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"DisableKeyboard" = "Rundll32.exe Keyboard,Disable"

4. Перезагрузить компьютер.