Virus.VBS.Agent.o

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Agent.o Вредоносная программа, изменяющая системный реестр, а также выполняющая рассылку электронных писем по сети Интернет. Является файлом сценария языка Visual Basic Script. Имеет размер 10616 байт.

Инсталляция

При запуске вирус копирует свой исполняемый файл с атрибутами "Скрытый" и "Архивный" в корень следующих дисков: 

С:
D:
E:
F:
I:

После этого устанавливает своему исполняемому файлу атрибуты "Скрытый" и "Архивный". Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32system" = "С:\NYboy.vbs"

Деструктивная активность

Затем вносит следующие изменения в ключи системного реестра:

  • Запрещает отображение скрытых каталогов и файлов:
    • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll]
"CheckedValue" = "REG_DWORD:00000000"
  • Изменяет настройки браузера Internet Explorer:
    • [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserContextMenu" = "REG_DWORD:00000001"
"NoBrowserOptions" = "REG_DWORD:00000001"
"NoBrowserSaveAs" = "REG_DWORD:00000001"
"NoFileOpen" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Advanced" = "REG_DWORD:00000001"
"Cache Internet" = "REG_DWORD:00000001"
"AutoConfig" = "REG_DWORD:00000001"
"HomePage" = "REG_DWORD:00000001"
"History" = "REG_DWORD:00000001"
"Connwiz Admin Lock" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://ruanji03.ys168.com"
"Search Page" = "http://ruanji03.ys168.com"
"Default_Page_URL" = "http://ruanji03.ys168.com"
"Default_Search_URL" = "http://ruanji03.ys168.com"

[HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://ruanji03.ys168.com"
"Default_Page_URL" = "http://ruanji03.ys168.com"
"Default_Search_URL" = "http://ruanji03.ys168.com"
"Search Page","http://ruanji03.ys168.com"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage" = "REG_DWORD:00000001"
"SecurityTab" = "REG_DWORD:00000001"
"ResetWebSettings" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions]
"NoAddingSubScriptions" = "REG_DWORD:00000001"
  • Скрывает меню "Файл" в каталогах и проводнике:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFileMenu" = "REG_DWORD:00000001"
  • Запрещает перезагрузку в режиме MS-DOS:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"NoRealMode" = "REG_DWORD:00000001"
  • Записывает информацию:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = ""
  • Скрывает команду "Завершение сеанса" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogOff" = "REG_DWORD:00000001"
  • Скрывает команду "Выполнить" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "REG_DWORD:00000001"
  • Скрывает все элементы на Рабочем столе Windows:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop" = "REG_DWORD:00000001"
  • Запрещает вызов контекстного меню:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" = "REG_DWORD:00000001"
  • Отключает контекстное меню для Панели задач:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoTrayContextMenu" = "REG_DWORD:00000001"
  • Скрывает команду "Завершение работы" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "REG_DWORD:00000001"
  • Скрывает команду "Завершение сеанса" (Windows Me/2000/XP):
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"StartMenuLogOff" = "REG_DWORD:00000001"
  • Скрывает пункт "Справка и поддержка" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMHelp" = "REG_DWORD:00000001"
  • Скрывает "Сетевое Окружение" на Рабочем столе Windows:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoNetHood" = "REG_DWORD:00000001"
  • Запрещает "горячие" клавиши с использованием клавиши Windows:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoWinKeys" = "REG_DWORD:00000001"
  • Cскрывает "Принтеры" и "Панель управления" в меню "Настройка":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetFolders" = "REG_DWORD:00000001"
  • Скрывает пункт "Документы" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu" = "REG_DWORD:00000001"
  • Скрывает пункт "Найти" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "REG_DWORD:00000001"
  • Скрывает пункт "Windows Update" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoWindowsUpdate" = "REG_DWORD:00000001"
  • Скрывает пункт "Панель задач и меню "Пуск"" из меню "Настройка":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetTaskbar" = "REG_DWORD:00000001"
  • Скрывает пункт "Избранное" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFavoritesMenu" = "REG_DWORD:00000001"
  • Предотвращает создание списка недавно использовавшихся документов:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsHistory" = "REG_DWORD:00000001"
  • Блокирует доступ к редактору реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "REG_DWORD:00000001"
  • Запрещает использования сеансов MS-DOS и однозадачного режима MS-DOS (Windows 98):
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled" = "REG_DWORD:00000001"
  • Добавляет новый пункт в контекстное меню каталогов:
    • [HKLM\Software\Classes\Drive\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"

[HKLM\Software\Classes\Directory\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"
  • Добавляет новый пункт в контекстное меню дисков:
    • [HKCR\Drive\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"
  • Добавляет новый пункт в контекстное меню каталогов:
    • [HKCR\Directory\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"
  • Изменяет внешний вид иконок для файлов с расширениями "exe", "txt","dll","bat","ini":
    • [HKCR\exefile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\txtfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\dllfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\batfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\inifile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\exefile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\txtfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\dllfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\batfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\inifile\DefaultIcon]
@ = "C:\1.ico"
  • Изменяет программу обрабатывающую файлы с расширением "reg":
    • [HKLM\Software\CLASSES\.reg]
@ = "txtfile"
  • При загрузке системы будет выводиться окно, заголовок окна соответствует значению параметра LegalNoticeCaption, а текст – значению параметра LegalNoticeText:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "???,???????????"
"LegalNoticeText" = "??????,???????QQ252287438??"

Далее вирус создает в корне дисков С:, D:, E:, F:, I: файл с атрибутами "Только чтение", "Скрытый" и "Системный": 

NYboy.bat

Данный файл содержит строку: 

NYboy.vbs

В корне тех же дисков вредонос создает файл с атрибутами "Только чтение", "Скрытый" и "Системный": 

autorun.inf

Данный файл содержит команду, автоматически запускающую файл "NYboy.bat" при обращении к зараженным дискам через проводник Windows после перезагрузки системы. После этого вирус пытается завершить процессы со следующими именами: 

taskmgr.exe
QQ.exe
notepad.exe
IExplore.exe
Cmd.exe
Avp.exe
WinRAR.exe
RealPlay.exe
Winword.exe

Если на компьютере установлено приложение MS Outlook, вирус начинает рассылку письма на первые 5 контактов, найденных в адресной книге. Рассылаемое сообщение имеет вид: Тема письма: 

??????

Текст письма: 

????:??????????????????????????,????!               QQ????

Вложенный файл: 

С:\NYboy.vbs

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Загрузить Windows в безопасном режиме с поддержкой командной строки и выполнить следующие команды для включения командой строки и редактора реестра:
    2. reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun
  2. Выполнить загрузку Windows в обычном режиме.
  3. При помощи ("Диспетчера задач") завершить процесс WScript.exe.
  4. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить параметры в ключах реестра (как работать с реестром?):
    6. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32system" = "С:\NYboy.vbs"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll]
"CheckedValue" = "REG_DWORD:00000000"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserContextMenu" = "REG_DWORD:00000001"
"NoBrowserOptions" = "REG_DWORD:00000001"
"NoBrowserSaveAs" = "REG_DWORD:00000001"
"NoFileOpen" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Advanced" = "REG_DWORD:00000001"
"Cache Internet" = "REG_DWORD:00000001"
"AutoConfig" = "REG_DWORD:00000001"
"HomePage" = "REG_DWORD:00000001"
"History" = "REG_DWORD:00000001"
"Connwiz Admin Lock" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://ruanji03.ys168.com"
"Search Page" = "http://ruanji03.ys168.com"
"Default_Page_URL" = "http://ruanji03.ys168.com"
"Default_Search_URL" = "http://ruanji03.ys168.com"

[HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://ruanji03.ys168.com"
"Default_Page_URL" = "http://ruanji03.ys168.com"
"Default_Search_URL" = "http://ruanji03.ys168.com"
"Search Page","http://ruanji03.ys168.com"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage" = "REG_DWORD:00000001"
"SecurityTab" = "REG_DWORD:00000001"
"ResetWebSettings" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoViewSource" = "REG_DWORD:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions]
"NoAddingSubScriptions" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFileMenu" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"NoRealMode" = "REG_DWORD:00000001"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = ""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogOff" = "REG_DWORD:00000001"
"NoRun" = "REG_DWORD:00000001"
"NoDesktop" = "REG_DWORD:00000001"
"NoViewContextMenu" = "REG_DWORD:00000001"
"NoTrayContextMenu" = "REG_DWORD:00000001"
"NoClose" = "REG_DWORD:00000001"
"StartMenuLogOff" = "REG_DWORD:00000001"
"NoSMHelp" = "REG_DWORD:00000001"
"NoNetHood" = "REG_DWORD:00000001"
"NoWinKeys" = "REG_DWORD:00000001"
"NoSetFolders" = "REG_DWORD:00000001"
"NoRecentDocsMenu" = "REG_DWORD:00000001"
"NoFind" = "REG_DWORD:00000001"
"NoWindowsUpdate" = "REG_DWORD:00000001"
"NoSetTaskbar" = "REG_DWORD:00000001"
"NoFavoritesMenu" = "REG_DWORD:00000001"
"NoRecentDocsHistory" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
"Disabled" = "REG_DWORD:00000001"

[HKLM\Software\Classes\Drive\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"

[HKLM\Software\Classes\Directory\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"

[HKCR\Drive\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"

[HKCR\Directory\Shell\Auto\Command]
@ = "C:\NYboy.bat '%1'"

[HKCR\exefile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\txtfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\dllfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\batfile\DefaultIcon]
@ = "C:\1.ico"

[HKCR\inifile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\exefile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\txtfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\dllfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\batfile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\SOFTWARE\Classes\inifile\DefaultIcon]
@ = "C:\1.ico"

[HKLM\Software\CLASSES\.reg]
@ = "txtfile"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "???,???????????"
"LegalNoticeText" = "??????,???????QQ252287438??"
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Agent.o»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.