Virus.JS.Flea.a
Материал из Total Malware Info
Virus.JS.Flea.a Вирус, нарушающий работоспособность компьютера5лод. Написан на Java Script и Visual Basic Script. Распространяется встраиванием в WEB-страницы.
Инсталляция
Копирует свое тело в каталог Windows:
%WinDir%c<номер текущего месяца>.htm
Деструктивная активность
В теле вируса содержится вредоносный сценарий, который после раскодирования соединяется с сервером zapros.com (имя пользователя для соединения ncc.com.tw) и открывает URL:
http://zap****com/l.htm (на момент создания описания URL был инфицирован Virus.JS.Flea.b)
URL загружает код вируса в скрытом фрейме. Далее вирус создает файл в каталоге Windows:
%WinDir%\с<номер текущего месяца>
И добавляет ключ автозапуска для файла с<номер текущего месяца>:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Internal" = "regedit.exe /s C:\WINDOWS\c<номер текущего месяца>"
Таким образом, после перезагрузки системы импортируются следующие настройки реестра из файла с<номер текущего месяца> без вывода диалогового окна:
- Устанавливает дополнительную страницу для поиска:
[HKLM\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm" "CustomizeSearch"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm"
[HKLM\Software\Microsoft\Windows\CurrentVersion\URL] "DefaultPrefix"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/c/c.pl?url=" [HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix] "(default)"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/c/c.pl?url="
[HKCU\Software\Microsoft\Internet Explorer] "SearchUrl"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/search.htm"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B1}]
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,5"
"Icon"="shell32.dll,4"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/find.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B2}]
"ButtonText"="ANTIVIRUS"
"HotIcon"="shell32.dll,12"
"Icon"="shell32.dll,13"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/av.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B3}]
"ButtonText"="PILLS"
"HotIcon"="shell32.dll,181"
"Icon"="shell32.dll,180"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/med.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B4}]
"ButtonText"="SECURITY"
"HotIcon"="shell32.dll,194"
"Icon"="shell32.dll,45"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/check.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B5}]
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,157"
"Icon"="shell32.dll,155"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
Далее вирус изменяет настройки реестра для почтовых клиентов "Outlook Express 5.0" и "Outlook Express 6.0" таким образом, что все отправленные с зараженного компьютера письма, содержат тело червя.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
[HKCU\Identities\<DUI>\Software\Microsoft\Outlook Express\<ver>\signatures\ 01000000], где DUI= [HKCU\Identities\Default User ID], ver = 5.0 или 6.0
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B1}]
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,5"
"Icon"="shell32.dll,4"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/find.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B2}]
"ButtonText"="ANTIVIRUS"
"HotIcon"="shell32.dll,12"
"Icon"="shell32.dll,13"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/av.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B3}]
"ButtonText"="PILLS"
"HotIcon"="shell32.dll,181"
"Icon"="shell32.dll,180"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/med.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B4}]
"ButtonText"="SECURITY"
"HotIcon"="shell32.dll,194"
"Icon"="shell32.dll,45"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304*****************************04LFD0SF9FSD0A2T4LD%2E%42%49%5A/check.htm"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
[HKLM\Software\Microsoft\Internet Explorer\Extensions\{0B5F1910-F111-11d2-BB9E-00C04F7956B5}]
"ButtonText"="SEARCH"
"HotIcon"="shell32.dll,157"
"Icon"="shell32.dll,155"
"Exec"="http://ncc.com.tw:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD%2E%42%49%5A"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Default Visible"="Yes"
%WinDir%c<номер текущего месяца>.htm %WinDir%\с<номер текущего месяца>
