28.09.2007
Trojan.Win32.VB.aqt
Троянская программа, написана на Basic, похожа на Trojan.Win32.VB.atq, размер исполняемого файла 20480 байта, файл не сжат и не зашифрован. В случае запуска троян выполняет следующие операции:
1. Создает копию своего исполняемого файла в папке с именем Recycled (например, при размещении системы на диске C путь имеет вид C:\Recycled\Recycled\ctfmon.exe), и в папке автозапуска (в XP полный путь к файлу будет иметь вид \Documents and Settings\<имя учетной записи>\Главное меню\Программы\Автозагрузка\ctfmon.exe). Путь к папке автозапуска определяется через реестра Explorer\Shell Folders. Оба файла имеют атрибуты "Только чтение" и "Системный". Кроме того, троян создает файлы Recycled\INFO2 и Recycled\desktop.ini
2. Создает файл в корне HDD с именем autorun.inf
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)
После выполнения данных действий троян завершает свою работу. После перезагрузки троян запускается за счет одного из описанных выше методов автозапуска и повторяет шаги 1-2. Кроме того, он остается запущенным и в цикле пытается создать файлы *:\Recycled\ctfmon.exe, *:\autorun.inf, *:\Recycled\INFO2 и *:\Recycled\desktop.ini на других дисках. На месте * перебором подставляется буква от B до Z, причем троян не проверяет, доступно ли устройство и существует ли оно в системе. За счет этого механизма троян может размножаться в локальной сети путем размещения своих копий на расшаренных дисках и поражать подключаемые к компьютеру Flash диски.
Удаление вручную:
Удаление вручную не вызывает трудностей - для этого следует остановить процессы трояна, удалить его исполняемые файлы и файл autoruni.inf из корня всех дисков. В качестве меры защиты очень полезно отключить автозапуск, в этом случае autorun.inf не сработает и первичное заражение ПК не произойдет.