Статьи по безопасности

Trojan-Downloader.VBS.Agent.ah

Другие модификации: .au, .cl, .cm, .cn, .df, .dh, .dl, .dp, .dr, .du, .et, .fc, .fd, .fd, .fe, .ff

Поведение

Trojan-Downloader, троянский загрузчик.

Технические детали

Троянская программа. Является html-страницей, содержащей сценарий языка Visual Basic Script. Имеет размер 2076 байт.

Деструктивная активность

После активации троянец производит расшифровку своего кода и проверяет, был ли он запущен с локального ресурса.

Если программа запущена с локального ресурса, то изменяются следующие значения параметров реестра для зоны Интернета «0»:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "0"

[HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones]
"1201" = "0"

Таким образом, при последующих запусках веб-страниц со скриптами, создающими ActiveX-объекты для работы с файлами, предупреждения о попытке создания таких объектов не выводятся, и троянец начинает выполнение своих функций.

Программа производит рекурсивный поиск всех файлов с расширениями:

*.html
*.mp3
*.htt

в следующих каталогах:

%WinDir%/Web
%Desktop%
%MyDocuments%

В начало всех найденных файлов троянец дописывает свое тело.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Восстановить зараженные файлы из резервной копии Windows или с установочного диска.
Изменить значения параметров системного реестра:

[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "1"

[HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "1"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами


30 Mar, 2008 | admin



« Предыдущая запись - Следующая запись »
---------------------------------------------

Комментарии


Нет комментариев. Вы можете быть первым!



Оставить коммнетарий

:

:
: