Worm.VBS.Small.g

Материал из Total Malware Info

Worm.VBS.Small.g Червь, заражающий локальные и съемные диски компьютера пользователя. Является файлом сценария языка Visual Basic Script. Имеет размер 5016 байт.

Инсталляция

При запуске червь копирует свой исполняемый файл под следующим именем:

%WinDir%\autoupdate.dll.vbs

Данному файлу устанавливается атрибут "Скрытый". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"autoupdate" = "%WinDir%\autoupdate.dll.vbs"

Деструктивная активность

Далее вирус создает файл с атрибутом "Скрытый":

%WinDir%\bot.jpg

данный файл содержит строку:

asdfghjkl

Затем червь в корне доступных съемных и локальных дисков (кроме диска A:) создает файлы с атрибутом "Скрытый":

autoupdate.dll.vbs
autorun.inf

Первый файл является копией вируса. Второй файл содержит команду, автоматически запускающую копию вируса при обращении к зараженным дискам через проводник Windows после перезагрузки системы. После этого червь вносит следующие изменения в системный реестр:

• Изменяет заголовок окна браузера Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "Hacked by YaHaa, Your FireWall Is FUCK."

• Изменяет имя пользователя, на которого зарегистрирована данная версия Windows:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "Free For YaHaa"

• Изменяет внешний вид иконок для файлов с расширением "vbs":

[HKCR\vbsfile]
"DefaultIcon" = "shell32.dll,2"

• Изменяет информацию о процессоре компьютера пользователя:

[HKLM\Hardware\Description\System\CentralProcessor\0]
"ProcessorNameString" = "Hacked By YaHaa..         Your Antivirus Is FUCK.."

• Изменяет информацию о серийном номере текущей версии Windows:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"ProductId" = "xx3xx-1xx-x2xxxxx-xxxx8"

Если для заражения было доступно более 1 логического диска, то червь приостанавливает свою работу на 500 секунд а затем запускает на выполнение свое оригинальное тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс WScript.exe.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "Hacked by YaHaa, Your FireWall Is FUCK."

[HKCR\vbsfile]
"DefaultIcon" = "shell32.dll,2"

[HKLM\Hardware\Description\System\CentralProcessor\0]
"ProcessorNameString" = "Hacked By YaHaa..         Your Antivirus Is FUCK.."

4. Изменить на исходные значения параметров в ключах системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "Free For YaHaa"

[HKLM\Hardware\Description\System\CentralProcessor\0]
"ProcessorNameString" = "Hacked By YaHaa..         Your Antivirus Is FUCK.."

[HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"ProductId" = "xx3xx-1xx-x2xxxxx-xxxx8"

5. Удалить файлы:

%WinDir%\autoupdate.dll.vbs
%WinDir%\bot.jpg