Статьи
Данная троянская программа активно размножается в сети Интернет уже длительное время. Эта программа
призвана выполнять различные деструктивные действия на компьютере пользователя. Сама программа по своей
сути – это приложение Windows (PE EXE - файл). Программа имеет размеры 49152 байта и написана на «Visual Basic».
Данная зловредная программа была обнаружена еще в октябре 2006 года.
Данный троян имеет следующие модификации:
Trojan.Win32.VB.a,
Trojan.Win32.VB.agb,
Trojan.Win32.VB.ami,
Trojan.Win32.VB.rl,
Trojan.Win32.VB.wf
Эта троянская программа проникает в корневой каталог диска «С» с именем «fun.exe.xls.exe». Точное расположение
каталога следующее: c:\fun.xls.exe.
Программа устанавливает для файлов атрибут «скрытый». При автоматическом запуске системы, данная троянская
программа прописывает файл «autorun.inf», со скриптом:
[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
Действия данного скрипта повторяются для всех дисков, которые находятся в системе. Троянская программа запускает файл
«fun.xls.exe», а затем копирует себя в каталог «Windows» создавая такие имена, как «msfun80.exe», «msime82.exe».
%System%\msfun80.exe
%System%\msime82.exe
%System%\algsrvs.exe
В скрипт добавляются следующие строки:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MsServer"="msfun80.exe", а также
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.2"="msime82.exe"
Далее, управление передается в копию с именем «algsrvs.exe», в свою очередь эта копия осуществляет постоянную проверку
этих ключей автозапуска и производит их восстановление в случае удаления.
Если Вы заметили любое из подобных подозрительных действий, то следует удалить вредоносную программу. Удалить
троян можно следующим способом:
1. Используя «Диспетчер задач» необходимо завершить троянский процесс «algsrvs.exe». После этого, следует удалить
оригинальный файл троянской программы и затем удалить следующие файлы, созданные троянской программой:
%all_drives%\autorun.inf
c:\fun.xls.exe
%System%\msfun80.exe
%System%\msime82.exe
%System%\algsrvs.exe
Следующим этапом необходимо удалить ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MsServer"="msfun80.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.2"="msime82.exe".
Последний шаг – полная проверка компьютера с использованием антивирусной программы с обновленными базами данных.