Trojan.VBS.StartPage.fu



Технические детали
Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария Visual Basic Script (VBS). Размер - 3750 байт.


Деструктивная активность
После запуска троянец выполняет рекурсивный поиск файлов с расширением "lnk" в каталогах:

  • %Documents and Settings%\All Users\Desktop
  • %Documents and Settings%\%Current User%\Desktop
  • %Documents and Settings%\All Users\Start Menu
  • %Documents and Settings%\%Current User%\Start Menu
  • %Documents and Settings%\%Current User%\Application Data\
  • Microsoft\Internet Explorer\Quick Launch


В найденных файлах-ярлыках троян находит файлы, содержщие в поле ссылки на исполняемый объект строки с именами браузеров:

  • TTraveler.exe
  • SogouExplorer.exe
  • TheWorld.exe
  • Maxthon.exe
  • Maxthon2.exe
  • 360SE.exe


Затем троян модифицирует данные ярлыки, добавляя в командную строку запуска исполняемого файла параметр:

  • %ProgramFiles%\NetMeeting\ie.html


Таким образом, при запуске браузера происходит открытие HTML страницы "ie.html". На момент создания описания файл отсутствовал.

Также троянец создает ярлык для запуска файла, который располагается по ссылке:

  • %ProgramFiles%\java\qq


Данный файл-ярлык сохраняется под следующим именем:

  • %Documents and Settings%\All Users\Start Menu
    \<символы_в_неизвестной_кодировке>
    \<символы_в_неизвестной_кодировке>\>
    \<символы_в_неизвестной_кодировке>
    QQ.lnk


В командной строке указывается следующая команда:

  • %System%\wscript.exe /e:vbs qq


В качестве иконки файлу-ярлыку задается файл:

  • %ProgramFiles%\java\qq.ico


Методы борьбы
Для удаления вредоносной программы необходимо:

  1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. 2. Удалить файл:
    • %ProgramFiles%\NetMeeting\ie.html
    • %ProgramFiles%\java\qq.ico
    • %ProgramFiles%\java\qq.exe
    • %Documents and Settings%\All Users\Start Menu
      \<символы_в_неизвестной_кодировке>
      \<символы_в_неизвестной_кодировке>\>
      \<символы_в_неизвестной_кодировке>
      QQ.lnk
  3. Восстановить оригинальные значения файлов-ярлыков перечисленных браузеров.
  4. Произвести полную проверку компьютера лечащей утилитой Dr.Web CureIt!.