Worm.VBS.Small.c

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.VBS.Small.c Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 63 260 байт. Написан на Visual Basic Script.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\kernel32.dll.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
kernel32=”%System%\kernel32.dll.vbs”

Деструктивная активность

Изменяет значение следующего ключа реестра: 

[HKCU\Software\Microsoft\Windows Script Host\Settings]
Timeout=0

Создает файлы: 

%WinDir%\I will survive.txt
%WinDir%\The show must go on.txt

Копирует свое тело в корневую папку всех локальных дисков компьютера включая съемные, но не включая диск ”A:\” под следующим именем: 

kernel32.dll.vbs

так же создает файл autorun.inf в корневой папке зараженных дисков, который содержит ссылку на файл червя, таким образом при открытии зараженного диска в программе ”Проводник” происходит запуск файла червя.

Изменяет значение следующих ключей реестра: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
Window Title=”Hacked by 8BITS”
[HKCU\Software\Microsoft\Internet Explorer\Main]
Start Page=”about:_______________________________________:Hacked_By_8BITS:_______________________________________”

Удаляет следующие файлы: 

c:\boot.ini
c:\IO.SYS
c:\MSDOS.SYS
c:\NTDETECT.COM
c:\ntldr

Удаляет содержимое следующих папок: 

c:\Documents and Settings
c:\Program Files

Эти действия червя приводят к потере пользовательских данных и неработоспособности ОС.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
kernel32=”%System%\kernel32.dll.vbs”

[HKCU\Software\Microsoft\Internet Explorer\Main]
Window Title=”Hacked by 8BITS”
  4. Удалить файл:
    5. %System%\kernel32.dll.vbs
  5. Удалить файлы со следующими именами с корневых папок всех дисков:
    6. kernel32.dll.vbs
autorun.inf
  6. Восстановить стартовую страницу Internet Explorer.
Источник — «http://www.totalmalwareinfo.com/rus/Worm.VBS.Small.c»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.