Virus.VBS.Stuck.b

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Stuck.b Вредоносная программа, выполняющая рассылку писем с зараженными вложениями через сеть Интернет. Является файлом сценария языка Visual Basic Script (VBS). Имеет размер 6807 байт.

Инсталляция

При наличии в рабочем каталоге файла: 

%WorkDir%\BluTak.vbs

вирус копирует данный файл в каталог Windows под именем: 

%WinDir%\BluTak.vbs

Деструктивная активность

Затем вирус добавляет в системный реестр следующую информацию: 

[HKLM\Software\BluTak\Info]
"Coder" = "Ruzz`"
[HKLM\Software\BluTak\Info]
"Group" = "The Shadow Virus Group"
[HKLM\Software\BluTak\Info]
"Release" = "BluTak 1.0"
[HKLM\Software\BluTak\Info]
"Victim" = "<Name>"
[HKLM\Software\BluTak\Stat]
"Infected" = "<Data>"
[HKLM\Software\BluTak\Stat]
"IDNumber" = "<Rnd>"
[HKLM\Software\BluTak\RunInfo]
"WinDir" = "%WinDir%"
[HKLM\Software\BluTak\RunInfo]
"RootDir" = "C:\"
[HKLM \Software\BluTak\RunInfo]
"TempDir" = "%Temp%"
[HKLM\Software\BluTak\RunInfo]
"SysDir" = "%System%"
[HKLM\Software\BluTak\RunInfo]
"WorkingFile" = "%Temp%\rad<Rnd2>.tmp"

Где <Rnd> - случайное число от 0 до 9999999; 

<Rnd2> - случайный набор букв и чисел из 5 символов;
<Name> - имя пользователя, на которого зарегистрирована данная версия Windows;
<Data> - текущая дата и время.

Далее вирус дописывает во все файлы в каталогах: 

С:\
%System%\
%WinDir%\

две строки следующего вида: 

Stuck In The Blu?
BluTak By Ruzz`

Затем создает ключ в системном реестре: 

[HKLM\Software\BluTak\Stat]
"Infected Files" = "<количество зараженных файлов>"

Если на компьютере установлено приложение MS Outlook, вирус начинает рассылку зараженного письма на все контакты, найденные в адресной книге пользователя. Рассылаемое письмо имеет вид: Тема: 

Look at this kewl file

Тело: 

I found this really kewl file on the Internet.  Running it is a must!

Вложенный файл: 

%WorkDir%\BluTak.vbs

После отправки зараженных писем, вирус удаляет зараженное письмо из списка "Отправленных".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKLM\Software\BluTak\Info]
"Coder" = "Ruzz`"
[HKLM\Software\BluTak\Info]
"Group" = "The Shadow Virus Group"
[HKLM\Software\BluTak\Info]
"Release" = "BluTak 1.0"
[HKLM\Software\BluTak\Info]
"Victim" = "<Name>"
[HKLM\Software\BluTak\Stat]
"Infected" = "<Data>"
[HKLM\Software\BluTak\Stat]
"IDNumber" = "<Rnd>"
[HKLM\Software\BluTak\RunInfo]
"WinDir" = "%WinDir%"
[HKLM\Software\BluTak\RunInfo]
"RootDir" = "C:\"
[HKLM \Software\BluTak\RunInfo]
"TempDir" = "%Temp%"
[HKLM\Software\BluTak\RunInfo]
"SysDir" = "%System%"
[HKLM\Software\BluTak\RunInfo]
"WorkingFile" = "%Temp%\rad<Rnd2>.tmp"
  3. Удалить файл:
    4. %WinDir%\BluTak.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Stuck.b»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.