Virus.VBS.Tune.b
Материал из Total Malware Info
Virus.VBS.Tune.b Вредоносная программа, выполняющая рассылку писем с зараженными вложениями через сеть Интернет. Является файлом сценария языка Visual Basic Script. Имеет размер 7252 байта.
Инсталляция
При запуске вирус копирует свой исполняемый файл под следующими именами:
%WinDir%\tune.vbs %WinDir%\winsck.vbs %System%\tune.vbs %System%\kernel.vbs %System%\explorer.vbs %Temp%\tune.vbs
Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%WinDir%\tune.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<default>" = "%System%\tune.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "<default>" = "%Temp%\tune.vbs"
Вредонос также изменяет файлы:
%WinDir%\win.ini %WinDir%\system.ini
записывая в них команды для автоматического запуска копии вируса после каждой перезагрузки Windows.
Деструктивная активность
После этого вредонос копирует свое тело в корневой каталог всех локальных и сетевых дисков компьютера пользователя под именем:
tune.vbs
Если на компьютере пользователя установлено приложение MS Outlook, вирус начинает рассылку зараженного письма на все контакты, найденные в адресной книге. Рассылаемое письмо выглядит следующим образом: Тема письма:
Please Read
Текст письма:
Hey, you really need to check out this attached file I sent you...please check it out as soon as possible.
Вложенный файл:
Оригинальное тело вируса
Для исключения повторной рассылки зараженных писем вредонос делает запись в ключе системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion] "Sent?" = "1"
Если IRC-клиент mIRC установлен на компьютере пользователя в каталог:
C:\mirc
тогда вредонос начинает свое распространение по каналам IRC, для этого он создает скрипт-файл "script.ini":
С:\mirc\script.ini
Посредством этого файла всем пользователям mIRC, заходящим на каналы, в которых находится зараженный компьютер, рассылается файл:
%System%\tune.vbs
Если IRC-клиент Pirch98 установлен на компьютере пользователя в каталог:
C:\pirch98
тогда вредонос продолжает свое распространение по каналам IRC, для этого он создает скрипт-файл "events.ini":
С:\pirch98\events.ini
Посредством этого файла всем пользователям Pirc98, заходящим на каналы, в которых находится зараженный компьютер, рассылается сообщение:
Hi there
а также рассылается файл:
%System%\tune.vbs
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить из файла:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%WinDir%\tune.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<default>" = "%System%\tune.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "<default>" = "%Temp%\tune.vbs" [HKCU\Software\Microsoft\Windows\CurrentVersion] "Sent?" = "1"
%WinDir%\win.ini
следующие строки:
[windows] load=%System%\kernel.vbs [windows] run=%WinDir%\winsck.vbs
- Удалить из файла:
%WinDir%\system.ini
следуюище строки:
[boot] shell=Explorer.exe %System%\explorer.vbs
- Удалить файлы:
С:\pirch98\events.ini С:\mirc\script.ini %WinDir%\tune.vbs %WinDir%\winsck.vbs %System%\tune.vbs %System%\kernel.vbs %System%\explorer.vbs %Temp%\tune.vbs
