Security Lab

Trojan.VBS. Seeker.g

Trojan.VBS. Seeker.g

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Деструктивная активность

При выполнении скрипта блокируется диспетчер задач путем установки значения соответствующего ключа реестра в параметрах безопасности:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000001"

Дальше троянец останавливает свою работу на 30 секунд, после чего устанавливает адрес стартовой страницы веб-браузера Internet Explorer равным http://www.dosugrus.com и разрешение ее запуска:

  [HKCU\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.dosugrus.com"
  
  [HKLM\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.dosugrus.com"
  
  [HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   "HomePage"="dword:00000001"
  
  [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane]
   "HomePage"="dword:00000001"

После этого на рабочем столе Windows создается файл DosugRus.url (ссылка на документ Internet) следующего содержания:

[InternetShortcut]
URL=http://www.ruforce.com/

При запуске этого файла пользователем в браузере открывается веб-страничка по адресу http://www.ruforce.com/.

После этих действий троянец разблокирует диспетчер задач:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000000"

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!