Trojan-Downloader.VBS.Agent.aag


Описание
Троянская программа, загружающая из сети Интернет другие вредоносные программы без ведома пользователя и запускающая их на выполнение. Программа является сценарием языка Visual Basic Script. Размер - 3252 байта.


Инсталляция
После запуска троянец создает каталог:

  • <my_doc>\<rnd1>

<rnd1> - произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU" или "CXHCXEKBBUOBMTA";
<my_doc> - путь к каталогу "Мои документы" для текущего пользователя, который, троянец получает из ключа системного реестра:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Shell Folders\Personal]

После чего троян загружает файл с определенного URL адреса, сохраняет его в созданном каталоге под именем:

  • <my_doc>\<rnd1>\<rnd2>

<rnd2> - произвольная последовательность букв латинского алфавита, например "YSCXTAFWWQJWIO" или "QKUPLSXOOIBOAGNEMFH";

Далее троян проверяет, включение UAC из ключа реестра:

  • [HKLM\Software\Microsoft\Windows\CurrentVersion\
    Policies\System\EnableLUA]

При выключенном ключе троян выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий.
Для автоматического удаления каталога со скачанным файлом троян создает запись в системном реестре, которая будет выполнена при следующем старте системы:

  • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"

Методы борьбы
Выполняем следующие действия:

  1. Удаляем оригинальный файл троянца (расположение зависит от способа попадания программы на компьютер).
  2. Удаляем файл:
    • <my_doc>\<rnd1>\<rnd2>
  3. Удаляем параметр системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"
  4. Произвести полную проверку компьютера бесплатной антивирусной утилитой Dr.Web CureIt! или Антивирусом Касперского с обновленными антивирусными базами.