28.09.2007
Trojan.Win32.VB.aqt
Троянская программа, написана на Basic, похожа на Trojan.Win32.VB.atg, размер исполняемого файла 20480 байта, исполняемый файл не сжат и не зашифрован. Может распространяться на Flash дисках. Иконка трояна похожа на иконку одного из системных приложений, копирайты поддельные и похожи на копирайты системных файлов.
В случае запуска троян скриытно выполняет следующие операции:
1. Создает копии своего исполняемого файлы в папке Recycled\Recycled\ctfmon.exe и в папке автозапуска. Местоположение папки автозапуска определяется через реестр, в XP типовое местоположение файла - Documents and Settings\<имя профиля>\Главное меню\Программы\Автозагрузка\ctfmon.exe. Исполняемый файл и папка Recycled имеют атрибуты "Только чтение" и "Системный" для маскировки от проводника.
2. Создает в корне системного диска файл autorun.inf следующего вида
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)
Данный файл применяется для запуска Recycled\Recycled\ctfmon.exe. После этого троян завершает свою работу, исходный файл при этом не удаляется.
В случае запуска в результате срабатывания одной из описанных выше форм автозапуска троян выполняет шаги 1-2, но работу не завершает и продолжает в цикле пытаться выполнить шаг 2 для дисков B: - Z:. Наличие диска и его доступность троян не проверяет, прочто пытается создать на диске файлы *:\Recycled\ctfmon.exe, *:\autorun.inf, *:\Recycled\INFO2 и *:\Recycled\desktop.ini
За счет циклического копирования в корень дисков троян может заражать подключенные к компьютеру сетевые диски и Flash накопители - запуск трояна с них будет осуществляться за счет autorun.inf.
Удаление вручную
Троян не маскируется, поэтому несложно найти и удалить его, а так-же созданные им файлы autorun.inf. В качестве меры противодействия можно посоветовать отключение автозапуска для свех дисков - это не позволит системе обработать autorun.inf и скрытно запустить трояна.