Trojan-Downloader.VBS.Psyme.im

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие файлы и запускает их на исполнение. Является сценарием языка Visual Basic Script. Имеет размер 3751 байт.

Деструктивная активность

После активации троянец производит расшифровку и, используя уязвимость в ActiveX-компоненте «XMLHTTP», загружает файл со следующего URL:

http://*****pp.sohu.com/images/2007/8/11/23/6/114ef509c8a.jpg

На момент создания описания по данной ссылке скачивался файл размером 20011 байт, детектирующийся Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.ahz.

Если первые два байта загружаемого файла соответствуют «MZ», троянская программа, используя уязвимость в ActiveX-компоненте «ADODB.Stream», сохраняет файл во временный каталог текущего пользователя Windows под именем «webpnt.exe»:

%Temp%\webpnt.exe

Затем скачанный файл запускается на исполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

   %Temp%\webpnt.exe

3. Очистить каталог «%Temporary Internet Files%».
4. Отключить уязвимый ActiveX-объект.
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).