На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan

Trojan.VBS.KillFiles.u

24.09.2007

Trojan.VBS.KillFiles.u

Присланный на анализ образец назывался "Фото Катя.exe", размер порядка 350 кб, иконка похожа на логотип файла ICQ. В случае запуска зловред выполняет следующие операции:
1. Дропает на диск скрипт TEMP\dll.vbs
2. Дропает на диск файл TEMP\Катя.jpg, после чего запускает "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscre en <полный путь к папке TEMP>\Катя.jpg. Это приводит к открытию изображения, это фото какой-то девушки
3. Запускает "WINDOWS\System32\WScript.exe" "<полный путь к TEMP>\dll.vbs"
----
Файл dll.vbs - зашифрованный вредоносный деструктивный скрипт на Basic, который:
1. Уничтожает файл C:\ntldr (что блокирует загрузку системы)
2. Создает ряд политик, блокирующих и искажающих нормальную работу системы, преименовывае мусорную корзину в "Помойка ламера"
3. Уничтожает в папке WINDOWS\system32\ ряд файлов, в частности hal.dll, \dllcache\*.CAT (в коде стоят команды уничтожения system32\dllcache и system32\drives, в счастью в слове "drivers" опечатка, иначе восстановить систему было бы невозможно)
4. Блокирует запуск EXE файлов путем модификации ключа реестра "exefile\shell\open\command"
5. Самоуничтожается, стирая с диска dll.vbs
6. Висит, вызывая в цикле rundll32. Помешать зловреду на этой стадии сложно, т.е. EXE файлы уже не запускаются и диспетчер задач блокирован

Как легко заметить из описания, зловред очень похож на печально знаменитую "диструктивную рекламу", которая удаляла файлы на диске.
Восстановление системы:
1. загрузиться с boot CD
2. восстановить C:\ntldr, system32\hal.dll (файлы можно взять с идентичной системы)
3. Создать на диске пораженного ПК папку AVZ, распаковать в нее AVZ и переименовать его исполняемый файл в avz.pif. запомнить полный путь
3. загрузиться с пораженной системы в "защищенном режиме с поддержкой командной строки (в обычном меню и запуск программу будут блокированы политиками)
4. В открывшемся окне командной строки запустить AVZ, введя его полное имя (например, c:\avz4\avz.pif)
5. Выполнить "Файл\Восстановление ситемы", там отметить скрипты c номерами 1,4,5,6,7,8,11,16 и нажать "выполнить скрипт"
6. Перезагрузиться (Ctrl+Alt+Del, в меню диспетчера задач выбрать "завершение работы\перезагрузка"




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.