Virus.VBS.Stress
Материал из Total Malware Info
Virus.VBS.Stress Вирус, заражающий VBS-файлы. Имеет размер 3 922 байта. Распространяется при помощи клиента пиринговых IRC-сетей mIRC. Написан на Visual Basic Script.
Инсталляция
При активации вирус копирует свое тело в системный каталог Windows (путь задан строго):
C:\Windows\System\wscript.vbs
Деструктивная активность
Вирус заражает своим телом все файлы с расширением *.vbs в следующих каталогах:
С:\ C:\My Documents C:\Windows
Вирус ищет путь к файлу настроек IRC – клиента "Mirc" script.ini по стандартным каталогам установки, и изменяет его таким образом, что всем пользователям при подключении к каналу, где находится зараженный компьютер, отправляется тело вируса:
C:\Windows\System\wscript.vbs.
Далее вирус создает ключ реестра:
[HKLM\Software\KasperskyLab\AVP32] "VX Rules" = "Stress Out"
После чего создает в каталоге:
C:\VX Rules\Fuck AV\Yes I am serious\You think this is a joke\Ah fuck you\No not in the sexual way\You are infected\If you are stressed now\Stress out and relax\
Файл And go to hell.txt в который записывает следующие:
You're infected with Stress Out..Have a stressed day..Gigabyte
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить значение ключа реестра (как работать с реестром?):
- Удалить файл:
- Удалить каталог и файл:
- В файле настроек IRC-клиента "Mirc" script.ini удалить строки:
[HKLM\Software\KasperskyLab\AVP32] "VX Rules" = "Stress Out"
C:\Windows\System\wscript.vbs
C:\VX Rules\Fuck AV\Yes I am serious\You think this is a joke\Ah fuck you\No not in the sexual way\You are infected\If you are stressed now\Stress out and relax\And go to hell.txt
n0=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt }
n1=/dcc send $nick c:\windows\system\wscript.vbs
}
