Virus.VBS.Golden.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Golden.b Вирус. Имеет размер 2 088 байт. Написан на Visual Basic Script.

Инсталляция

Копирует свое тело в скрытую папку GoldenKey в каталоге Windows под именем Readme.vbs: 

%WinDir%\GoldenKey\Readme.vbs

Затем в корневой каталог Windows в скрытый файл GoldenKey.lys: 

%WinDir%\GoldenKey.lys

Также в корневой каталог диска C: 

C:\Readme.vbs

И если доступен гибкий магнитный диск, то копирует туда свое тело: 

A:\Readme.vbs

Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"GoldenKey" = "%WinDir%\GoldenKey.lys"

Создает ключ реестра, для того чтобы файлы с расширением *.lys запускались как vbs-файлы: 

[HKCR\.lys]
"(default)"=VBSFile

Деструктивная активность

При запуске вирус устанавливает следующие значения в ключе реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\!]
"Flags"="192"
"Parm1enc" = -1837192444
"Path" = C:\
"Remark" = "GoldenKey"
"Type" = "0"

Тем самым злоумышленник открывает полный доступ к вашему диску С:, как "скрытому ресурсу" (открытый для доступа ресурс, не видимый обычными средствами). А также создает следующий раздел реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\README!]
"Flags"="191"
"Path" = "%WinDir%\GoldenKey\Readme.vbs"
"Remark" = "GoldenKey"
"Type" = "0"

Таким образом, злоумышленник открывает доступ к файлу %WinDir%\GoldenKey\Readme.vbs, как "скрытому ресурсу" (открытый для доступа ресурс, не видимый обычными средствами).

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключи реестра:
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\!]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\README!]
[HKCR\.lys]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"GoldenKey" = "%WinDir%\GoldenKey.lys"
  3. Включить отображение скрытых файлов и папок и удалить:
    4. %WinDir%\GoldenKey\Readme.vbs
%WinDir%\GoldenKey.lys
C:\Readme.vbs
A:\Readme.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Golden.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.