Virus.VBS.Reality

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Reality Вредоносная программа, заражающая файлы с расширениями "htt", "asp", "htm" и "html". Является html-страницей, содержащей сценарии языка Visual Basic Script. Имеет размер 5328 байт.

Деструктивная активность

При запуске вредонос отключает в браузере Internet Explorer сообщения о том, что открываемые страницы могут содержать опасные программы (элементы ActiveX), записав следующую информацию в ключи системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "dword:00000000"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "dword:00000000"

Далее вредонос ищет файлы с расширениями "htt", "asp", "htm" и "html" в следующих каталогах: 

%WorDir%
C:\My Documents
C:\Windows\Desktop
C:\Windows\Web
C:\Windows\Web\Wallpaper
C:\Windows\Help
C:\Windows\Temp
C:\Program Files\Internet Explorer\Connection Wizard
C:\Program Files\Microsoft Office\Office\Headers
C:\Inetpub\wwwroot

В начало всех найденных файлов вредонос дописывает свое тело. После этого вирус создает файл: 

C:\Windows\buz.dll

Данный файл имеет размер 497 байт и детектируется антивирусом Касперского как Virus.DOS.Tiny.127 Затем вирус автоматически запускает данный файл при каждой последующей загрузке Windows с помощью стандартных средств отладки и редактирования программ, изменив файл: 

С:\Windows\WinStart.bat

Далее вредонос создает файл-ярлык: 

C:\Windows\Favorites\HTML.Reality.a.URL

который открывает в браузере сайт: 

http://www.avp.tm

Если на момент запуска вируса было 5, 15 или 30 число любого месяца, тогда вредонос записывает следующую информацию в ключ системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"Version" = "Windows 3.1"
"RegisteredOwner" = "We seem to be made to suffer."
"RegisteredOrganization" = "It's our lot in life. -cp3o"

Таким образом вирус изменяет информацию о названии текущей версии Windows, имя владельца и название организации, на которых зарегистрирована данная версия Windows.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Изменить значения параметров в ключах системного реестра на следующие (как работать с реестром?):
    3. [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "dword:00000001"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1201" = "dword:00000001"
  3. Изменить значения параметров в ключе системного реестра на исходные:
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion]
"Version" = "Windows 3.1"
"RegisteredOwner" = "We seem to be made to suffer."
"RegisteredOrganization" = "It's our lot in life. -cp3o"
  4. Удалить файлы:
    5. C:\Windows\buz.dll
C:\Windows\Favorites\HTML.Reality.a.URL
  5. Удалить содержимое файла:
    6. С:\Windows\WinStart.bat
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Reality»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.