Trojan.VBS.StartPage.bl

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.VBS.StartPage.bl Троянская программа, изменяющая значения системного реестра. Программа является HTML-страницей содержащей сценарии языка Visual Basic Script и Java Script. Имеет размер 5028 байт.

Деструктивная активность

Тело троянца находится в зашифрованном виде в специально сформированной Web-странице. После активации троянец расшифровывает свой код, и изменят следующие значения параметров реестра:

  • Устанавливает стартовую страницу в браузера "Internet Explorer"
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://yin****com/jinzhi.htm"

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://yin****com/jinzhi.htm"
  • Изменят адрес поискового сервера, используемый по умолчанию:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page" = "http://yin****com/jinzhi.htm"
  • Изменяет вводимые пользователем ссылки в адресную строку:
    • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
"url1" = "http://yin****com/jinzhi.htm"
"url2" = "http://yin****com/jinzhi.htm"
"url3" = "http://yin****com/jinzhi.htm"
  • Запрещает пользователю запустить Regedit.exe или Regedt32.exe для изменения системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
  • Создает параметр для автоматического запуска при следующем старте системы:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"IEXPLORE.EXE" = "IEXPLORE.EXE http://yin****com/jinzhi.htm "
  • Изменят заголовок окна в браузере "Internet Explorer":
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "S~S^LB"
  • Запрещает изменение домашней страницы на вкладке "Общие" в свойствах обозревателя:
    • HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\
"HomePage" = "1"

Также троянец создает параметры реестра: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"default_page_url" = "http://yin****com/jinzhi.htm"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"First Home Page" = "http://yin****com/jinzhi.htm"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Восстановить системный реестр из резервной копии (<a href="http://support******rsky.ru/win_server6/tech?qid=208635303"</a>).
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.VBS.StartPage.bl»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.