Virus.VBS.Mesut
Материал из Total Malware Info
Virus.VBS.Mesut Вирус, нарушающий работоспособность компьютера. Имеет размер 3 340 байт. Написан на Visual Basic Script.
Инсталляция
При запуске вирус копирует свое тело в системную папку Windows под именем GhostDog.vbs:
%System%\GhostDog.vbs
Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Startup" = "%System%\GhostDog.vbs"
Деструктивная активность
Вирус производит поиск файлов с расширениями *vbs и *vbe в следующих каталогах:
%WinDir% %AllUsersDesktop% %AllUsersStartMenu% %AllUsersPrograms% %AllUsersStartup% %MyDocuments%
и перезаписывает все найденные файлы своим телом. Далее вирус проверяет наличие файла IRC-клиента "Mirc":
C:\Mirc\Mirc.ini
Если файл существует, то дописывает в него строки:
[rfiles] n100=Script.ini
Затем вирус создает файл:
C:\Mirc\Script.ini (112 байт, детектируется Антивирусом Касперского, как IRC-Worm.VBS.Generic)
Таким образом, вирус рассылает своет тело всем пользователям IRC-клиента "Mirc", которые присоеденяются к каналу к которому подключен зараженный компьютер. Далее вирус проверяет наличие стандартного каталога установки антивируса "Norton AntiVirus":
C:\Program files\Norton AntiVirus
Если такой существует, то удаляет его. По окончанию своей работы вирус шифрует свое тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ реестра:
- Удалить файлы:
- В файле C:\Mirc\Mirc.ini удалить строки:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Startup" = "%System%\GhostDog.vbs"
%System%\GhostDog.vbs C:\Mirc\Script.ini
[rfiles] n100=Script.ini
