Trojan.Win32.VB.wt

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.VB.wt Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 34369 байт. Упакована при помощи FSG. Распакованный размер около ~ 124 КБ. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела в системный каталог Windows библиотеку с именем "Rasmon.dll": 

%System%\Rasmon.dll

Данный файл имеет размер 61440 байт. После этого получает дату создания системной библиотеки "kernel32.dll" и меняет дату создания и последнего изменения созданной библиотеки в соответствии с полученными данными. Затем создает ключ системного реестра: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
"superAdmin"="Upshgl"

Это дает возможность создать сервис операционной системы используя системную команду: 

%SystemRoot%\System32\svchost.exe -k superAdmin

Выполнение этой команды приводит к созданию ключа системного реестра, со всеми необходимыми атрибутами системного сервиса: 

[HKLM\System\CurrentControlSet\Services\Upshgl]

В этом ключе прописывается путь к извлеченной библиотеке "Rasmon.dll", которая и выполняет функции сервиса. Созданный сервис запускается. Троянец ожидает 2 секунды и удаляет из реестра ключ: 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
"superAdmin"="Upshgl"

А затем создает файл командного интерпретатора "uns.bat" и помещает его в каталог Windows: 

%WinDir%\uns.bat

После чего запускает его. Данный файл удаляет оригинальный файл троянца и себя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер), если он не удалит себя сам.
  2. Удалить ключи системного реестра:
    3. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost]
"superAdmin"="Upshgl"
[HKLM\System\CurrentControlSet\Services\Upshgl]
  3. Удалить файл, созданный троянцем:
    4. %System%\Rasmon.dll
  4. Перезагрузить компьютер.
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.VB.wt»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.