Троянская программа. Представляет собой сценарий JavaScript.
Деструктивная активность
Троянская программа выполняет следующие действия:
* Делает невозможным редактирование реестра, устанавливая следующее значение:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1",
* Прописывает в ключе автозапуска процедуру завершения работы Windows:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll" = "%WinDir%\rundll32.exe user,ExitWindows"
* Меняет иконку для файлов JavaScript:
[HKCR\JSFile\DefaultIcon]
"default" = "%WinDir%\SYSTEM\shell32.dll,-154"
* Изменяет заголовок браузера Internet Explorer:
[HKLM\Software\Microsoft\Windows\Internet Explorer\Main]
"WindowTitle" = "Orixuss"
* Устанавливает следующее значение параметра реестра:
[HKCR\JSFile] "default" = "System File"
* Удаляет из текущего каталога файл:
%CurrentDir%\kernel.sys.js
* Запускает команду:
rundll32.exe user,ExitWindows
Другие названия
Trojan.JS.ExitW.a («Лаборатория Касперского») также известен как: Trojan.JS.ExitW («Лаборатория Касперского»), JS/Xiro (McAfee), JS.Xiro.Trojan (Symantec), Troj/JS-Ksys (Sophos), JS/Xiro.A* (RAV), JS_EXITWIN.A (Trend Micro), VBS/Xiro.A (FRISK), VBS:Malware (ALWIL), JS/Xiro.A (Grisoft), VBS.Xiro.A (SOFTWIN), JS/Orixuss (Panda)
Спойлер: мы раскрываем их любимые трюки