Trojan.Corruptor
(Trojan:Win32/VB, TROJ_Generic, Generic VB, Parser error, Trojan.BAT.Voska.b, Trojan:Win32/Trafog!rts, TR/Agent.brc.1, TR/VB.als, Generic.dx, Email-Worm.VBS.Agent.d, BehavesLike:Trojan.RegistryDisabler, Trojan.Bat.Voska.B, Trojan.Win32.KillFiles.dn, Trojan.VBS.DocDel.A, Generic2.UUG, Trojan.Crypt.A, Trojan.Win32.Agent.sr, Trojan.Win32.Shutdowner.bl, Trojan Horse, TR/VB.als.10, Generic Del.e, Trojan:Win32/Provis!rts, Trojan.Shutdowner.BL, TR/Agent.SR.1, Trojan.Corruptor)
Описание добавлено:
2006-01-31
Тип вируса: Троянская программа
Уязвимые ОС: Win9x/NT/2000/XP/2003
Размер: 11 776, 24 576, 30 208
Упакован: может быть упакован UPX или распространяться в неупакованном виде.
Техническая информация
Модификация Trojan.Corruptor (11 776 байт)
Написан на Microsoft Visual C++ 6.0
Не имеет видимых окон.
Не прописывается в автозагрузку.
Переименовывает файлы winlogon.exe, iexplore.exe, services.exe, svchost.exe, lsass.exe, explorer.exe, присваивая им имена Xcbf, ewfwefw235, gre435246ggfr5y, gregfr5y
Также переименовывает файлы:
dsquery.dll -> ewfw43ef.dll
kernel32.dll -> ewfwefvrc
gdi32.dll -> fewfewfwewfl
user32.dll -> fewfwewf.xf
mfc42.dll -> fwefew.xdll
Полностью удаляет разделы системного реестра:
HKEY_LOCAL_MACHINE\HARDWARE
HKEY_LOCAL_MACHINE\SAM
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM
В следствие чего полностью нарушается работоспособность компьютера даже без перезагрузки.
Восстановление работоспособности компьютера
Копии файлов-оригиналов (winlogon.exe, iexplore.exe, services.exe, svchost.exe, lsass.exe, explorer.exe, dsquery.dll, kernel32.dll, gdi32.dll, user32.dll, mfc42.dll) остаются в каталоге dllcache (C:\WINDOWS\system32\dllcache), реестр необходимо восстанавливать только из резервной копии, либо запустить установку WinXP в режиме Восстановление (Recover) с установочного CD-ROM-a. Система при этом восстанавливает системный реестр и системные файлы.
Модификация Trojan.Corruptor (24 576 байт)
Написан на Visual Basic, ничем не упакован.
При своём запуске создаёт в системном каталоге Windows (%WinDir%\System32) systemdate.ini, в который записывает дату и время инфицирования, а также run.reg в котором прописывает свой автозапуск.
Свою копию троянец помещает в корневой каталог диска С:\. Там же создаёт файл autorun.inf, в котором содержится процедура автозапуска троянца. Таким образом, при переходе на диск С:\ произойдёт запуск rose.exe
Важное примечание: Все создаваемые данной модификацией Trojan.Corruptor файлы имеют атрибут "Скрытый", поэтому их может быть не видно в стандартном окне файлового менеджера, например, Total Commander. Необходимо разрешить отображение скрытых и системных файлов.
Восстановление работоспособности компьютера
Для лечения необходимо удалить файлы rose.exe, systemdate.ini, autorun.inf, run.reg.
Модификация Trojan.Corruptor (30 208 байт)
По своим деструктивным действиям сходен с Trojan.Plastix
Удаляет все пункты системного меню Windows, кроме Программы, Настройка
Удаляет все иконки с Рабочего стола
Удаляет все значки из системного трея.
По окончании своей работы автоматически перезагружает компьютер, в то время как Trojan.Plastix этого не делает.
Восстановление работоспособности компьютера
Аналогичное, как при инфицировании Trojan.Plastix
