Trojan.VBS.Vanina.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.Vanina.b Троянская программа, заражающая файлы с расширениями btr, pst, xlsl, mdb, jpg, pab, wab, dbx. Имеет размер 5 686 байт. Написана на Visual Basic Script.

Инсталляция

Троянец копирует свое тело в каталог Windows: 

%WinDir%\NAV.exe                                                                          .vbs

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Norton AntiVirus" = "%WinDir%\NAV.exe                                                                          .vbs"

Деструктивная активность

Далее троянец отправляет 80 писем с помощью программы "MS Outlook". Письма следующего содержания: Возможные адресаты: 

vieyrae@officenet.com.ar
fishmanl@officenet.com
cavadaf@officenet.com
pedidos@officenet.com.ar
schedule@on-officenet.com
inbound@on-officenet.com
freirea@officenet.com
bilinkiss@officenet.com.ar

Тема письма: 

<случайные чифры>

После отправки письма удаляются. Троянец изменяет следующие значения ключей реестра:

  • Изменят стартовую страницу в браузере IE:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://www.af******tv.com/fotos/big/FMf003.jpg
  • Ограничивает доступ к Интернет через IE и другие продукты Microsoft, например "Microsoft Office":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet]
"ProxyEnable","0"
"ProxyServer","0.0.0.0"

Далее удаляет следующие ветви реестра: 

HKCR\.xls
HKCR\.doc
HKCR\.mdb

Троянец на всех доступных логических, сетевых и съемных дисках заменяет своим телом все файлы с расширениями: 

*.btr
*.pst
*.xls
*.mdb
*.jpg
*.pab
*.wab
*.dbx

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Norton AntiVirus" = "%WinDir%\NAV.exe                                                                          .vbs"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = http://www.af******tv.com/fotos/big/FMf003.jpg
  3. Удалить файл:
    4. %WinDir%\NAV.exe                                                                          .vbs
  4. Восстановить настройки Интернет.
  5. При необходимости переустановить Windows.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.Vanina.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.