Security Lab

Trojan.VBS. StartPage.fu

Trojan.VBS. StartPage.fu

Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария Visual Basic Script (VBS).

Вредоносная программа, выполняющая деструктивные действия на компьютере пользователя. Является файлом сценария Visual Basic Script (VBS). Имеет размер 3750 байт.


name="doc3">

Деструктивная активность

После запуска троянец выполняет рекурсивный поиск файлов с расширением "lnk" в каталогах

%Documents and Settings%\All Users\Desktop
%Documents and Settings%\%Current User%\Desktop
%Documents and Settings%\All Users\Start Menu
%Documents and Settings%\%Current User%\Start Menu
%Documents and Settings%\%Current User%\Application Data\
Microsoft\Internet Explorer\Quick Launch
В найденных файлах-ярлыках троянец находит файлы, которые содержат в поле ссылки на исполняемый объект строки с именами браузеров:
TTraveler.exe
SogouExplorer.exe
TheWorld.exe
Maxthon.exe
Maxthon2.exe
360SE.exe
Затем троянец модифицирует данные ярлыки, добавляя в командную строку запуска исполняемого файла параметр:
%ProgramFiles%\NetMeeting\ie.html
Таким образом, при запуске браузера происходит открытие HTML страницы "ie.html". На момент создания описания файл отсутствовал. Также троянец создает ярлык для запуска файла, который располагается по ссылке:
%ProgramFiles%\java\qq
Данный файл-ярлык сохраняется под следующим именем:
%Documents and Settings%\All Users\Start Menu\<символы_в_
неизвестной_кодировке>\<символы_в_неизвестной_кодировке>
\>\<символы_в_неизвестной_кодировке>QQ.lnk
В командной строке указывается следующая команда: %System%\wscript.exe /e:vbs qq В качестве иконки файлу-ярлыку задается файл: %ProgramFiles%\java\qq.ico

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь