Virus.VBS.Tune.i

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.VBS.Tune.i Вредоносная программа, распространяющаяся по каналам IRC. Является файлом сценария языка Visual Basic Script. Имеет размер 7279 байт.

Инсталляция

При запуске вирус копирует свой исполняемый файл под следующими именами: 

%WinDir%\tune.vbs
%WinDir%\winsck.vbs
%System%\tune.vbs
%System%\kernel.vbs
%System%\explorer.vbs
%Temp%\tune.vbs

Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%WinDir%\tune.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<default>" = "%System%\tune.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"<default>" = "%Temp%\tune.vbs"

Вредонос также изменяет файлы: 

%WinDir%\win.ini
%WinDir%\system.ini

записывая в них команды для автоматического запуска копии вируса после каждой перезагрузки Windows.

Деструктивная активность

После этого вредонос копирует свое тело в корневой каталог всех локальных и сетевых дисков компьютера пользователя под именем: 

tune.vbs

Если IRC-клиент mIRC установлен на компьютере пользователя в каталог: 

C:\mirc

тогда вредонос начинает свое распространение по каналам IRC, для этого он создает скрипт-файл "script.ini": 

С:\mirc\script.ini

Посредством этого файла всем пользователям mIRC, заходящим на каналы, в которых находится зараженный компьютер, рассылается файл: 

%System%\tune.vbs

Если IRC-клиент Pirch98 установлен на компьютере пользователя в каталог: 

C:\pirch98

тогда вредонос продолжает свое распространение по каналам IRC, для этого он создает скрипт-файл "events.ini": 

С:\pirch98\events.ini

Посредством этого файла всем пользователям Pirc98, заходящим на каналы, в которых находится зараженный компьютер, рассылается сообщение: 

Hi there

а также рассылается файл: 

%System%\tune.vbs

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить параметры в ключах реестра (как работать с реестром?):
    3. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%WinDir%\tune.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<default>" = "%System%\tune.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"<default>" = "%Temp%\tune.vbs"
  3. Удалить из файла:
    4. %WinDir%\win.ini

следующие строки: 

[windows]
load=%System%\kernel.vbs
[windows]
run=%WinDir%\winsck.vbs
  1. Удалить из файла:
    2. %WinDir%\system.ini

следуюище строки: 

[boot]
shell=Explorer.exe %System%\explorer.vbs
  1. Удалить файлы:
    2. С:\pirch98\events.ini
С:\mirc\script.ini
%WinDir%\tune.vbs
%WinDir%\winsck.vbs
%System%\tune.vbs
%System%\kernel.vbs
%System%\explorer.vbs
%Temp%\tune.vbs
Источник — «http://www.totalmalwareinfo.com/rus/Virus.VBS.Tune.i»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.