Worm.VBS.Small.l

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.VBS.Small.l Червь, заражающий съемные и локальные диски компьютера пользователя. Является файлом сценария языка Visual Basic Script. Имеет размер 15726 байт.

Инсталляция

При запуске червь копирует свой исполняемый файл под следующими именами: 

%WinDir%\.MS32DLL.dll.vbs
%WinDir%\boot.ini

Данным файлам устанавливается атрибут "Скрытый". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MS32DLL" = "%WinDir%\.MS32DLL.dll.vbs"
"winboot" = "wscript.exe /E:vbs %WinDir%\boot.ini"

Деструктивная активность

После этого червь вносит следующие изменения в системный реестр:

  • Включает разрешение на обработку скриптов:
    • [HKCU\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout" = "0"
  • Включает автозапуск дисков:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "REG_DWORD:00000000"
  • Запрещает отображение каталогов и файлов с атрибутом "Скрытый":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden" = "REG_DWORD:00000001"
  • Скрывает защищенные и системные файлы:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "REG_DWORD:00000000"
  • Скрывает расширения для зарегистрированных типов файлов:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
  • Запрещает отображение каталогов и файлов с атрибутом "Скрытый":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"

Далее червь в корне доступных съемных и локальных дисков (кроме диска A:) создает файлы с атрибутом "Скрытый": 

.MS32DLL.dll.vbs
autorun.inf

Первый файл является копией вируса. Второй файл содержит команду, автоматически запускающую копию вируса при обращении к зараженным дискам через проводник Windows после перезагрузки системы. После заражения локального диска червь приостанавливает свою работу на 10 секунд

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс WScript.exe.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключах реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MS32DLL" = "%WinDir%\.MS32DLL.dll.vbs"
"winboot" = "wscript.exe /E:vbs %WinDir%\boot.ini"

[HKCU\Software\Microsoft\Windows Scripting Host\Settings]
"Timeout" = "0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "REG_DWORD:00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden" = "REG_DWORD:00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "REG_DWORD:00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"
  4. Удалить файлы:
    5. %WinDir%\.MS32DLL.dll.vbs
%WinDir%\boot.ini
Источник — «http://www.totalmalwareinfo.com/rus/Worm.VBS.Small.l»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.