Virus.VBS.Small.h

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Small.h Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария языка Visual Basic Script (VBS). Имеет размер 3876 байт.

Инсталляция

При запуске вирус копирует свой исполняемый файл под следующим именем: 

%WinDir%\System.TurBo.vbs

Данному файлу устанавливаются атрибуты "Только чтение", "Скрытый", "Архивный", "Системный". Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TurBo" = "%WinDir%\System.TurBo.vbs

Деструктивная активность

После этого вирус в корне доступных съемных и локальных дисков, кроме диска A:, создает файлы с атрибутами "Только чтение", "Скрытый", "Архивный" и "Системный": 

System.TurBo.vbs
autorun.inf

Первый файл является копией вируса. Второй файл содержит команду, автоматически запускающую вирус при обращении к зараженным дискам через проводник Windows после перезагрузки системы. Далее вредонос вносит следующие изменения в системный реестр:

  • Блокирует доступ к редактору реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "REG_DWORD:00000001"
  • Скрывает вкладку "Заставка" в свойствах экрана:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage" = "REG_DWORD:00000001"
  • Блокирует запуск "Диспетчера задач Windows":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "REG_DWORD:00000001"
  • Скрывает "Свойства папки" в проводнике:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions" = "REG_DWORD:00000001"
  • Скрывает команду "Выполнить" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "REG_DWORD:00000001"
  • Скрывает пункт "Найти" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "REG_DWORD:00000001"
  • Запрещает запуск "Панели управления":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoControlPanel" = "REG_DWORD:00000001"
  • Скрывает меню "Завершение работы" в меню "Пуск"
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "REG_DWORD:00000001"
  • Скрывает пункт "Мои документы":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMMyDocs" = "REG_DWORD:00000001"
  • Запрещает возможность "Выхода из системы" (для стиля XP):
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuLogoff" = "REG_DWORD:00000001"
  • Запрет вызова "контекстного меню" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoChangeStartMenu" = "REG_DWORD:00000001"
  • Скрывает пункт "Все программы" в меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuMorePrograms" = "REG_DWORD:00000001"
  • Запрет вызова "контекстного меню":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" = "REG_DWORD:00000001"
  • Устанавливает запрет на изменение фонового рисунка:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper" = "REG_DWORD:00000001"
  • Запрещает отображение каталогов и файлов с атрибутом "Скрытый":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "REG_DWORD:00000002"
  • Запрещает отображение каталогов и файлов с атрибутом "Скрытый":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "REG_DWORD:00000001"
  • Очищает список недавно открытых документов каждый раз при выключении компьютера:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClearRecentDocsOnExit" = "REG_DWORD:00000001"
  • Отключает службу встроенного межсетевого экрана (только для обладателей SP2):
    • [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "REG_DWORD:00000004"
  • Изменяет формат отображения даты:
    • [HKCU\Control Panel\International]
"sTimeFormat" = "REG_SZ:tt"
  • Рядом с системными часами располагает имя "TurBo":
    • [HKCU\Control Panel\International]
"s1159" = "REG_SZ:TurBo"
[HKCU\Control Panel\International]
"s2359" = "REG_SZ:TurBo"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Загрузить Windows в безопасном режиме с поддержкой командной строки и выполнить следующие команды для включения командой строки и редактора реестра:
    2. reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun
  2. Выполнить загрузку Windows в обычном режиме.
  3. При помощи ("Диспетчера задач") завершить процесс WScript.exe.
  4. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  5. Удалить файл:
    6. %WinDir%\System.TurBo.vbs
  6. Удалить параметры в ключах реестра (как работать с реестром?):
    7. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TurBo" = "%WinDir%\System.TurBo.vbs
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoControlPanel" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoClose" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSMMyDocs" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuLogoff" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoChangeStartMenu" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoStartMenuMorePrograms" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "REG_DWORD:00000002"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "REG_DWORD:00000001"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClearRecentDocsOnExit" = "REG_DWORD:00000001"
[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = "REG_DWORD:00000004"
[HKCU\Control Panel\International]
"sTimeFormat" = "REG_SZ:tt"
[HKCU\Control Panel\International]
"s1159" = "REG_SZ:TurBo"
[HKCU\Control Panel\International]
"s2359" = "REG_SZ:TurBo"
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Small.h»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.