Trojan-Downloader.VBS.Psyme.hb

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает на компьютер из сети Интернет другие вредоносные программы и запускает их на исполнение. Является HTML-страницей, содержащей сценарии языков Java Script и Visual Basic Script. Имеет размер 7931 байт.

Деструктивная активность

После запуска троянец производит внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Далее троянец, используя уязвимость в ActiveX-компоненте «XMLHTTP», загружает файл со следующего URL:

http://***zpx520.com/0.exe

Скачанный файл сохраняется во временный каталог текущего пользователя Windows под именем «svchost.exe»:

%Temp%\svchost.exe

После чего троянец создает файл «svchost.vbs» во временном каталоге текущего пользователя:

%Temp %\svchost.vbs

И записывает в него код для запуска файла «%Temp%\svchost.exe».

Далее файл «%Temp%\svchost.vbs» запускается на исполнение.

На момент создания описания указанная ссылка не работала.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\svchost.exe
   %Temp %\svchost.vbs

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).