Worm.VBS.Solow.e

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.VBS.Solow.e Червь, создающий свои копии на локальных дисках и доступных для записи флеш-дисках. Является файлом сценария языка Visual Basic Script. Имеет размер 8740 байт.

Инсталляция

При запуске червь копирует свое тело в корневой каталог Windows: 

%WinDir%\batch- Ophia.dll.vbs

и устанавливает атрибуты "Только чтение", "Скрытый", "Системный" и "архивный". Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Systemdir" = "%WinDir%\batch- Ophia.dll.vbs"

Деструктивная активность

Червь копирует свое тело на флеш- диск под именем: 

Ophia.dll.vbs

и устанавливает атрибуты "Только чтение", "Скрытый", "Системный" и "архивный". Далее создает на флеш-диске файл, в который записывает автозапуск своего тела: 

autorun.inf

и устанавливает атрибуты "Только чтение", "Скрытый", "Системный" и "архивный". Червь изменяет значения параметров системного реестра:

  • Изменить заголовок окна Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "Ophiauro"
  • Нe пoкaзывaть cкpытыe файлы и папки:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced]
"Hidden" = "0"
  • Команда "Найти" будет удалена из меню "Пуск":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "1"
  • Скрыть пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"
  • Сочетание клавиш <WIN>+<R> отключается:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "1"
  • Этот параметр не позволит пользователю запустить Regedit.exe или Regedt32.exe для изменения системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
DisableRegistryTools" = "1"
  • Запрещает запускать "Диcпeтчep зaдaч" для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов.
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableTaskMgr" = "1"
  • Скрывает контекстное меню, которое обычно появляется, когда Вы щелкаете правой кнопкой мыши на "Рабочем столе" или в правом окне "Проводника":
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" ="1"
  • Изменяет заголовок окна, которое появляется до окна ввода пароля при входе в систему:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "Ophiauro. Variant from Rangga-Zay, don’t panic all data are safe."
  • Изменяет наименование организации, которое было указано при установке Windows:
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization" = "The Polip"
  • Изменяет зарегистрированного владельца Windows:
    • [HKLM\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" ="Threads"

Если тип диска съемный червь приостанавливает свою работу на 200 секунд. После чего в цикле запускает свое оригинальное тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Восстановить системный реестр из резервной копии (<a href="http://support******rsky.ru/win_server6/tech?qid=208635303"</a>)
  3. Удалить файл:
    4. %WinDir%\batch- Ophia.dll.vbs
  4. Произвести поиск и удаление на съемных дисках файлов со следующими именами:
    5. Ophia.dll.vbs
autorun.inf
Источник — «http://www.totalmalwareinfo.com/rus/Worm.VBS.Solow.e»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.