Trojan.Win32.VB.azb

Материал из Total Malware Info

Trojan.Win32.VB.azb Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 19456 байт. Написана на Visual Basic.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именами "webpnt.exe" и "webprint.exe":

%System%\webpnt.exe
%System%\webprint.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\System\ControlSet001\Services\WebPrint]
"ImagePath"="%System%\webprint.exe"

[HKLM\System\CurrentControlSet\Services\WebPrint]
"ImagePath"="%System%\webprint.exe"

Деструктивная активность

Троянец создает в системном реестре свою запись:

[HKLM\Software\Microsoft\webpnt]
"update"="<cuttent_date>"
"newver"="no"
"count"="0"

Затем открывает в скрытом окне браузера Internet Explorer страницу:

http://new.******.com/index.htm

На данной странице находится скрытая переадресация на другой адрес:

http://o1.*****com/kyo/kiss.htm

В эту страницу встроен вредоносный сценарий Trojan-Downloader.JS.Agent.ua.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключи системного реестра:

[HKLM\System\ControlSet001\Services\WebPrint]
"ImagePath"="%System%\webprint.exe"

[HKLM\System\CurrentControlSet\Services\WebPrint]
"ImagePath"="%System%\webprint.exe"
[HKLM\Software\Microsoft\webpnt]
"update"="<cuttent_date>"
"newver"="no"
"count"="0"