Virus.VBS.Warnor
Материал из Total Malware Info
Virus.VBS.Warnor Вирус, заражающий vbs-файлы. Имеет размер 3 641 байт. Написан на Visual Basic Script.
Инсталляция
При активации вирус копирует свое тело в системный каталjг Windows: под именем NoWar.vbs:
%System%\NoWar.vbs
Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Startup" = "%System%\NoWar.vbs "
Деструктивная активность
Вирус поверяет наличие в системе следующих каталогов, если таковые существуют, то виру удаляет их:
C:\Program files\Norton AntiVirus C:\Program files\AVP C:\Program files\SYMANTEC
Вирус заражает свои телом все файлы с расширением "*.vbs" в каталогах:
%WinDir% %AllUsersDesktop% %AllUsersStartMenu% %AllUsersPrograms% %AllUsersStartup% %MyDocuments%
Далее вирус удаляет файлы:
%WinDir%\regedit.exe C:\Windows\system.ini C:\Windows\win.ini C:\io.sys
Далее вирус изменяет файл настроек "script.ini", IRC клиента "Mirc", таким образом, что всем пользователям при подключению к каналу, где находится зараженный компьютер, будет отсылаться тело вируса:
C:\Mirc\Script.ini
После работы вирус модифицирует свое тело, деструктивные действия не меняются. Размер модифицированного файла 4 200.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе реестра (как работать с реестром?):
- Удалить файл:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Startup" = "%System%\NoWar.vbs "
%System%\NoWar.vbs
