Trojan.JS.Fav.f

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.JS.Fav.f

Троянская программа, производящая изменение файловой системы и реестра. Является HTML-файлом.

Деструктивная активность

Троянская программа создает следующие файлы-ссылки на Интернет-ресурсы: 

%System%\internet.URL
%WinDir%\Favorites\+>??????????>+.URL
%WinDir%\Favorites\????????-?????????.URL
%WinDir%\Favorites\???OICQ??????-????!.URL
%WinDir%\Favorites\???????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\??????.URL
%WinDir%\Favorites\???????.URL
%WinDir%\Favorites\?????????????.URL
%WinDir%\desktop\Internet Explorer.URL
%WinDir%\desktop\?????.URL
%WinDir%\desktop\?????????.URL
%WinDir%\desktop\??OICQ?????.URL
%WinDir%\desktop\?????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\????????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\Start Menu\???????.URL
%WinDir%\Start Menu\??????.URL
%WinDir%\Start Menu\????????.URL
%WinDir%\Start Menu\???????.URL
%WinDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\????????.URL
%WinDir%\Start Menu\Programs\????????.URL

Также троянец создает следующие параметры реестра:

  • Изменяет стартовую страницу Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://qq3w.126.com"
  • Изменяет заголовок окна Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "???????--http://qq3w.126.com"
  • Блокирует возможность изменения стартовой страницы Internet Explorer:
    • [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"
  • Изменяет название папки "Ссылки" в Избранном:
    • [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
"LinksFolderName" = " ???http://qq3w.126.com??? ???????"
  • Изменяет системный формат написания даты:
    • [HKCU\Control Panel\International]
"sLongDate" = "yyyy'?'M'?'d'? ???http://qq3w.126.com??? ???????'"
  • Используется для автозагрузки файла C:\WINDOWS\system\internet.url при старте системы:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"internet" = "C:\WINDOWS\system\internet.url"
  • Добавляет пункт в контекстное меню Internet Explorer
    • [HKCU\Software\Microsoft\Internet Explorer\MenuExt\???http://qq3w.126******* ???????\]
"(default)" = "c:\asian.htm"
  • Изменяет параметр созданного пункта меню Internet Explorer:
    • [HKCU\Software\Microsoft\Internet Explorer\MenuExt\???http://qq3w.126.com??? ???????]
"contexts" = "0xf3"

Также троянец создает файл, содержащий команду для открытия страницы http://qq3w.126.com: 

c:\asian.htm

Рекомендации по удалению

  1. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. c:\asian.htm
%WinDir%\system\internet.URL
%WinDir%\Favorites\+>??????????>+.URL
%WinDir%\Favorites\????????-?????????.URL
%WinDir%\Favorites\???OICQ??????-????!.URL
%WinDir%\Favorites\???????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\????????.URL
%WinDir%\Favorites\??????.URL
%WinDir%\Favorites\???????.URL
%WinDir%\Favorites\?????????????.URL
%WinDir%\desktop\Internet Explorer.URL
%WinDir%\desktop\?????.URL
%WinDir%\desktop\?????????.URL
%WinDir%\desktop\??OICQ?????.URL
%WinDir%\desktop\?????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\????????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\desktop\??????.URL
%WinDir%\Start Menu\???????.URL
%WinDir%\Start Menu\??????.URL
%WinDir%\Start Menu\????????.URL
%WinDir%\Start Menu\???????.URL
%WinDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\????????.URL
%WinDir%\Start Menu\Programs\????????.URL
  4. Удалить параметры реестра:
    5. [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://qq3w.126.com"

 [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "???????--http://qq3w.126.com"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
"LinksFolderName" = " ???http://qq3w.126.com??? ???????"

[HKCU\Control Panel\International]
"sLongDate" = "yyyy'?'M'?'d'? ???http://qq3w.126.com??? ???????'"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"internet" = "C:\WINDOWS\system\internet.url"
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\???http://qq3w.126******* ???????\]
"(default)" = "c:\asian.htm"

[HKCU\Software\Microsoft\Internet Explorer\MenuExt\???http://qq3w.126.com??? ???????]
"contexts" = "0xf3"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.JS.Fav.f»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.