Trojan.Win32.VB.aqt

Материал из Total Malware Info

Перейти к: навигация, поиск

Содержание

Trojan.Win32.VB.aqt

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 20 480 байт. Язык написания Visual Basic.

Инсталляция

После запуска троянец создает каталог "Recycled" в каталоге корзины на диске "С:" и копирует в него свое тело под именем "ctfmon.exe": 

c:\Recycled\Recycled\ctfmon.exe

Для автоматического запуска при следующем старте системы троянец создает в корневом каталоге диска "С:" файл "autorun.inf": 

c:\autorun.inf

следующего содержания: 

[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(0)

Эти действия повторяются для всех дисков в системе. Кроме того, копирует свое тело в каталог автозапуска текущего пользователя под именем "ctfmon.exe": 

%Documents and Settings%\%curren_user%\Главное меню\Программы\Автозагрузка\ctfmon.exe

Деструктивная активность

Троянец создает в каталоге корзины файл "desktop.ini": 

c:\Recycled\desktop.ini

следующего содержания: 

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

После чего там же создает пустой файл "INFO2": 

c:\Recycled\INFO2

Эти действия перезапишут уже существующие системные файлы "desktop.ini" и "INFO2". Файл "INFO2" содержит информацию о файлах, помещенных пользователем в корзину. Таким образом, перезаписав этот файл пустым, троянец нарушит возможность производить очистку корзины, а так же восстанавливать удаленные файлы. Эти действия повторяются для всех дисков в системе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы, созданные троянцем:
    4. %all_drives%\autorun.inf
%all_drives%\Recycled\Recycled\ctfmon.exe
%Documents and Settings%\%curren_user%\Главное меню\Программы\Автозагрузка\ctfmon.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.VB.aqt»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.