Worm.VBS.Small.f

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.VBS.Small.f Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является файлом сценария языка Visual Basic Script. Имеет размер 3671 байт.

Инсталляция

После запуска червь копирует свое тело в следующие каталоги (путь задан строго): 

С:\Windows\system32\eventqueue.vbs
C:\Documents and Settings\All Users\ЎёїЄКјЎ№ІЛµҐ\іМРт\Жф¶Ї\Userinit.vbs
C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup\Userinit.vbs
C:\Windows\System32\GroupPolicy\User\Scripts\Logon\Userinit.vbs

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Userinit"="С:\windows\system32\explorer.exe c:\windows\system32\eventqueue.vbs"

Деструктивная активность

Червь открывает полный доступ другим локальным пользователям к корневому каталогу диска С:, выполняя команду: 

net share game=c:\

Далее червь копирует файл "C:\Windows\system32\wscript.exe" в 

C:\Windows\system32\explorer.exe

Создает ключ автозапуска в системном реестре: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavTask"="C:\Program Files\Rising\Rav\RavTask.exe -system"

Далее червь изменяет иконку для vbs – файлов: 

[HKCR\VBSFile\DefaultIcon]
"(default)" = "%SystemRoot%\System32\shell.dll,-21785"

Если на зараженной системе открыты следующие процессы, то червь завершает их: 

NOTEPAD.EXE
msconfig.exe
cmd.exe
mmc.exe
regedit.exe
taskmgr.exe

Червь на все доступные логические и сетевые диски копирует файлы: 

РВЅЁОДјюјР.vbs
userdata.vbs

Далее запускает на выполнение файл "userdata.vbs". и создает файл, для автозапуска своего тела: 

AutoRun.inf

В который записывает следующие строки: 

[autorun.inf
Open=C:\Windows\system32\wscript.exe userinit.vbs

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы:
    3. С:\Windows\system32\eventqueue.vbs
C:\Documents and Settings\All Users\ЎёїЄКјЎ№ІЛµҐ\іМРт\Жф¶Ї\Userinit.vbs
C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup\Userinit.vbs
C:\Windows\System32\GroupPolicy\User\Scripts\Logon\Userinit.vbs
  3. Произвести поиск и удаление файлов со следующими именами:
    4. РВЅЁОДјюјР.vbs
userdata.vbs
AutoRun.inf
  4. Удалить параметры в ключах реестра:
    5. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Userinit"="С:\windows\system32\explorer.exe c:\windows\system32\eventqueue.vbs"
"RavTask"="C:\Program Files\Rising\Rav\RavTask.exe -system"

(как работать с реестром?)

  1. Изменить значение ключа реестра:
    2. [HKCR\VBSFile\DefaultIcon]
"(default)" = "%SystemRoot%\System32\WScript.exe,2"

(как работать с реестром?)

  1. Восстановить оригинальные версии системных файлов из дистрибутива операционной системы.
Источник — «http://www.totalmalwareinfo.com/rus/Worm.VBS.Small.f»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.