Другие модификации: .au, .cl, .cm, .cn, .df, .dh, .dl, .dp, .dr, .du, .et, .fc, .fd, .fd, .fe, .ff
Поведение
Trojan-Downloader, троянский загрузчик.
Технические детали
Троянская программа. Является html-страницей, содержащей сценарий языка Visual Basic Script. Имеет размер 2076 байт.
Деструктивная активность
После активации троянец производит расшифровку своего кода и проверяет, был ли он запущен с локального ресурса.
Если программа запущена с локального ресурса, то изменяются следующие значения параметров реестра для зоны Интернета «0»:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "0"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones]
"1201" = "0"
Таким образом, при последующих запусках веб-страниц со скриптами, создающими ActiveX-объекты для работы с файлами, предупреждения о попытке создания таких объектов не выводятся, и троянец начинает выполнение своих функций.
Программа производит рекурсивный поиск всех файлов с расширениями:
*.html
*.mp3
*.htt
в следующих каталогах:
%WinDir%/Web
%Desktop%
%MyDocuments%
В начало всех найденных файлов троянец дописывает свое тело.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Восстановить зараженные файлы из резервной копии Windows или с установочного диска.
- Изменить значения параметров системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "1"
[HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0]
"1201" = "1"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
