Trojan.VBS. Seeker.g

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Троянская программа. Является VBS-скриптом. Имеет размер 1069 байт.

Деструктивная активность

При выполнении скрипта блокируется диспетчер задач путем установки значения соответствующего ключа реестра в параметрах безопасности:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000001"

Дальше троянец останавливает свою работу на 30 секунд, после чего устанавливает адрес стартовой страницы веб-браузера Internet Explorer равным http://www.dosugrus.com и разрешение ее запуска:

 [HKCU\Software\Microsoft\Internet Explorer\Main]
  "Start Page"="http://www.dosugrus.com"
 
 [HKLM\Software\Microsoft\Internet Explorer\Main]
  "Start Page"="http://www.dosugrus.com"
 
 [HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel]
  "HomePage"="dword:00000001"
 
 [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Pane]
  "HomePage"="dword:00000001"

После этого на рабочем столе Windows создается файл DosugRus.url (ссылка на документ Internet) следующего содержания:

[InternetShortcut]
URL=http://www.ruforce.com/

При запуске этого файла пользователем в браузере открывается веб-страничка по адресу http://www.ruforce.com/.

После этих действий троянец разблокирует диспетчер задач:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr "="dword:00000000"
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.