Trojan.Win32.VB.atg

Материал из Total Malware Info

Перейти к: навигация, поиск

Содержание

Trojan.Win32.VB.atg

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 49 152 байта. Язык написания Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в корневой каталог диска "С:" под именем "fun.xls.exe": 

c:\fun.xls.exe

Устанавливает для файла атрибут "скрытый". Для автоматического запуска при следующем старте системы троянец создает в корневом каталоге диска "С:" файл "autorun.inf": 

c:\autorun.inf

следующего содержания: 

[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

Эти действия повторяются для всех дисков в системе.

Деструктивная активность

После автоматического запуска файла "fun.xls.exe" троянец копирует свое тело в системный каталог Windows под именами "msfun80.exe", "algsrvs.exe" и "msime82.exe": 

%System%\msfun80.exe
%System%\msime82.exe
%System%\algsrvs.exe

Далее в ключи автозапуска системного реестра добавляются строки: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MsServer"="msfun80.exe"

и 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.2"="msime82.exe"

При запуске любого из этих двух файлов управление передается в копию под именем "algsrvs.exe", которая бесконечно проверяет существование указанных ключей автозапуска и восстанавливает их в случае удаления.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс "algsrvs.exe".
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы, созданные троянцем:
    4. %all_drives%\autorun.inf
c:\fun.xls.exe
%System%\msfun80.exe
%System%\msime82.exe
%System%\algsrvs.exe
  4. При помощи редактора реестра (как работать с реестром?) удалить ключи системного реестра:
    5. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MsServer"="msfun80.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.2"="msime82.exe"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.VB.atg»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.