Технические детали
Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария Visual Basic Script (VBS). Имеет размер 3300 байт.
Деструктивная активность
После запуска троянец пытается добавить дополнительную информацию в системный реестр, запустив следующие файлы:
%WorkDir%/rising1.reg
%WorkDir%/rising2.reg
На момент создания описания файлы отсутствовали.
Затем вредонос проверяет наличие каталога:
%ProgramFiles%/Internet Explorer/MUI
Если такой каталог не существует – троянец создает его.
После этого находит каталог:
%ProgramFiles%/lnkfiles
и удаляет все файлы, которые хранятся в нем.
Копирует исполняемый файл MS Internet Explorer
%ProgramFiles%/Internet Explorer/IEXPLORE.EXE
под следующим именем
%ProgramFiles%/Internet Explorer/MUI/iexplore.exe
Также троянец пытается скопировать файл
%WINDIR%/system32/wscript.exe
и сохраняет под именем:
%ProgramFiles%/Messenger/Ntype.exe
Далее вредонос выполняет рекурсивный поиск файлов в каталогах
%Documents and Settings%/All Users/Desktop
%Documents and Settings%/%Current User%/Desktop
%Documents and Settings%/All Users/Start Menu/Programs
%Documents and Settings%/%Current User%/Start Menu/Programs
с расширением "lnk" и со следующими именами:
t t r a V e l e r
i e x p l o r e
F i r e f o x
M a x t h o n
T h e W o r l d
g r e e n b r o w s e r
s o g o u e x p l o r e r
3 6 0 s e
M y i Q
K y l i n B r o w s e r
o p e r a
c h r o m e
S a a Y a a
t a n g o 3
M i n i I E
Всем найденным файлам вредонос устанавливает атрибут "Скрытый". Полный путь к файлу-ярлыку, а также путь к исполняемому файлу троянец сохраняет в текстовом файле:
%Program Files%/lnkfiles/X.txt
где X – десятичное число, минимальное значение которого – 15, инкремент числа для каждого нового файла равен 2. В завершении троянец удаляет свой оригинальный файл.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить каталог со всеми файлами
%Program Files%/lnkfiles
- Восстановить оригинальные атрибуты ярлыков браузеров, которые находятся в каталогах:
%Documents and Settings%/All Users/Desktop
%Documents and Settings%/%Current User%/Desktop
%Documents and Settings%/ All Users/Start Menu/Programs
%Documents and Settings%/%Current User%/Start Menu/Programs
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|