Virus.VBS.Both

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Both Вирус, заражающий HTML-файлы. Имеет размер 1 105 байт. Написан на Visual Basic Script.

Инсталляция

Распространяется встраиванием в WEB-страницы.

Деструктивная активность

Вирус получает путь к каталогу, в который сохраняет файл Hello.txt, из ключа реестра: 

[HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Desktop"

После чего в файл Hello.txt записывает следующие строки: 

HTML.Bother by PetiK (06/05/2001)
A HTML.Worm made in France

Далее проверяет наличие файла PetiK.htm в системном каталоге Windows. Если такого не существует, то вирус создает его: 

%System%\PetiK.htm

и записывает в созданный фал строки: 

Hi, you have my Worm.
It's not dangerous.
Contact Symantec Corporation (www.symantec.com/avcenter) to disinfect your computer

Затем вирус создает стартовую страницу в браузере Internet Explorer, изменяя значения следующего параметра реестра: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "C:\WINDOWS\system32\PetiK.htm"

Если дата запуска вируса с 1 по 30 число, то создает ключ реестра: 

[HKCR\htmlfile\DefaultIcon]
"(default)" = %System%\SHELL32.dll,69

Тем самым вирус изменяет иконки, отображающие HTML- файлы. Далее вирус получает путь к каталогу из ключа реестра: 

[HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Personal"

И в полученном каталоге перезаписывает своим телом все файлы с расширением: 

*.htm
*.html

Также перезаписывает своим телом все файлы с расширением *.htm или *.html в каталоге: 

%WinDir%\Web

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключ реестра:
    3. [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "C:\WINDOWS\system32\PetiK.htm"
  3. Для того чтобы иконки, отображающие HTML- файлы были стандартные, измените параметр ключа реестра на:
    4. [HKCR\htmlfile\DefaultIcon]
"(default)" = %Program Files%Internet Explorer\iexplore.exe,1
  4. Удалить файлы:
    5. %System%\PetiK.htm
% Desktop%\Hello.txt
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Both»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.