Trojan.VBS. Seeker.g

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Деструктивная активность

При выполнении скрипта блокируется диспетчер задач путем установки значения соответствующего ключа реестра в параметрах безопасности:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000001"

Дальше троянец останавливает свою работу на 30 секунд, после чего устанавливает адрес стартовой страницы веб-браузера Internet Explorer равным http://www.dosugrus.com и разрешение ее запуска:

[HKCU\Software\Microsoft\Internet Explorer\Main]
 "Start Page"="http://www.dosugrus.com"

[HKLM\Software\Microsoft\Internet Explorer\Main]
 "Start Page"="http://www.dosugrus.com"

[HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel]
 "HomePage"="dword:00000001"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane]
 "HomePage"="dword:00000001"

После этого на рабочем столе Windows создается файл DosugRus.url (ссылка на документ Internet) следующего содержания:

[InternetShortcut]
URL=http://www.ruforce.com/

При запуске этого файла пользователем в браузере открывается веб-страничка по адресу http://www.ruforce.com/.

После этих действий троянец разблокирует диспетчер задач:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000000"