Virus.VBS.Elcods

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Elcods Вредоносная программа, заражающая файлы с расширениями "vbs", "vbe", "js", "txt", "doc", "hta", "mp3" и "mp2". Является файлом сценария языка Visual Basic Script. Имеет размер 6836 байт.

Инсталляция

При запуске вирус копирует свой исполняемый файл под следующими именами: 

%WinDir%\win.vbs
%System%\very-important-txt.vbs

Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"burtai" = "%WinDir%\win.vbs"

Деструктивная активность

Далее вирус снимает запрет на обработку скриптов, записав следующую информацию в ключ системного реестра: 

[HKCU\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout" = "dword:00000000"

Если на компьютере установлено приложение MS Outlook, червь начинает рассылку зараженного письма на все контакты, найденные в адресной книге. Рассылаемое письмо имеет следующий вид: Тема письма: 

Virus Warnings !!!

Текст письма: 

VERY IMPORTANT PLEASE READ THIS TEXT.         TEXT ATTACHMENT.

Вложенный файл: 

%System%\very-important-txt.vbs

Для исключения повторной рассылки одним и тем же адресатам, вирус делает записи в ключе системного реестра: 

[HKCU\Software\Microsoft\WAB]
"<почтовые адреса адресатов>"= "dword:00000001"

После этого вирус перезаписывает своим телом все файлы с расширениями "vbs", "vbe", "js", "txt", "doc" и "hta" на всех локальных и сетевых дисках компьютере пользователя. Затем вирус удаляет на всех локальных и сетевых дисках компьютере пользователя файлы с расширениями "mp3" и "mp2". Вместо удаленных файлов вредонос создает файлы с такими же именами, но с расширением "vbs", являющиеся копиями вируса. Далее вирус создает и запускает на выполнение файл: 

%WinDir%\very.htm

Данный файл имеет размер 11083 байта и детектируется антивирусом Касперского как Email-Worm.VBS.LoveLetter.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах системного реестра (как работать с реестром?):
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"burtai" = "%WinDir%\win.vbs"

[HKCU\Software\Microsoft\WAB]
"<почтовые адреса адресатов>"= "dword:00000001"
  3. Изменить значение параметра в ключе системного реестра на следующее:
    4. [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout" = "dword:00000001"
  4. Удалить файлы:
    5. %WinDir%\win.vbs
%WinDir%\very.htm
%System%\very-important-txt.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Elcods»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.