Security Lab

Trojan.JS. ExitW.a

Trojan.JS. ExitW.a

Троянская программа. Представляет собой сценарий JavaScript.

Троянская программа. Представляет собой сценарий JavaScript. Содержится в web-страницах. Имеет размер 706 байт.

Деструктивная активность

Троянская программа выполняет следующие действия:

* Делает невозможным редактирование реестра, устанавливая следующее значение:

 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1",

* Прописывает в ключе автозапуска процедуру завершения работы Windows:

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rundll" = "%WinDir%\rundll32.exe user,ExitWindows"

* Меняет иконку для файлов JavaScript:

      [HKCR\JSFile\DefaultIcon]
"default" = "%WinDir%\SYSTEM\shell32.dll,-154"

* Изменяет заголовок браузера Internet Explorer:

      [HKLM\Software\Microsoft\Windows\Internet Explorer\Main]
"WindowTitle" = "Orixuss"

* Устанавливает следующее значение параметра реестра:

        [HKCR\JSFile]
        "default" = "System File"
  

* Удаляет из текущего каталога файл:

        %CurrentDir%\kernel.sys.js
  

* Запускает команду:

        rundll32.exe user,ExitWindows

Другие названия

Trojan.JS.ExitW.a («Лаборатория Касперского») также известен как: Trojan.JS.ExitW («Лаборатория Касперского»), JS/Xiro (McAfee), JS.Xiro.Trojan (Symantec), Troj/JS-Ksys (Sophos), JS/Xiro.A* (RAV), JS_EXITWIN.A (Trend Micro), VBS/Xiro.A (FRISK), VBS:Malware (ALWIL), JS/Xiro.A (Grisoft), VBS.Xiro.A (SOFTWIN), JS/Orixuss (Panda)

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь