Offensive — зловредный троянец прячется в HTML-файле

JS_OFFENSIVE.A (aka FLUG, JS@Juck) — троянская программа, внедренная в HTML-файл, написана на JavaScript. Использует ошибку в ActiveX control, что позволяет выполнять злонамеренные скрипты на пользовательской машине (см. «Microsoft virtual machine vulnerability»).

При открытии инфицированного HTML-файла троянец создает на компьютере пользователя ActiveX-объект, который запускает на выполнение зловредный скрипт, который модифицирует определенные ключи системного реестра, в результате чего ограничивает пользовательский доступ к компьютеру. Некоторые ограничения, сделанные троянцем:

• отключает/удаляет меню Run
• делает невозможными изменения в меню Start
• отключает автозапуск CD-ROM
• удаляет Favorites из меню Start
• удаляет меню File из Explorer
• отключает меню Find
• удаляет меню Folder->Options
• удаляет иконку Internet Explorer с Рабочего Стола и из Windows Explorer
• отключает документы из меню Documents
• отключает/удаляет меню LogOff
• отключает Active Desktop
• отключает вызов Taskbar по правой кнопке мыши
• удаляет Windows Update из меню Start
• отключает desktop (правый клик мыши перестает работать)
• удаляет сетевое окружение
• отключает любые утилиты для редактирования системного реестра, например REGEDIT
• удаляет «закладки» в окнах Display Settings и System Properties

Скрипт также изменяет следующие установки в Internet Explorer:

• изменяет в главном заголовке «Microsoft Internet Explorer» на «If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig»
• изменяет кнопку «Related To» в Internet Explorer на «FUCK Japanese» и помещает ее на Toolbar (по умолчанию она имеет атрибут hidden)

В окне Windows Logon троянец меняет заголовок и текст на следующий: «If you have any trouble please email:findlu@21cn.com note: not for japanese&dog&pig»

Троянец добавляет следующее вхождение в меню по правому клику мышки на диске: «how to fuck japan».

Также изменяет свойства файлов со следующими расширениями, тем самым не позволяя им работать должным образом: EXE, REG, HTM, HTML, TXT, INF, INI, DLL, SYS, COM, BAT.

Изменяет ключи в секции автозапуска системного реестра, чтобы после каждого старта Windows деинсталлировались следующие программы:

• INTERNAT.EXE
• SCANREG.EXE
• TASKMON.EXE
• SYSTRAY.EXE
• POWPROF.DLL

Троянец также изменяет два ключа в реестре (LoadPowerProfile и SchedulingAgent), в результате чего Windows выводит сообщения: «fuck japanese» и «fuck japanese government».