Trojan.VBS.StartPage.e
Материал из Total Malware Info
Trojan.VBS.StartPage.e Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Имеет размер 8 624 байта. Закодирована с помощью JScript.Encode. Написана на Visual Basic Script.
Инсталляция
Инсталлируется другими вредоносными программами в системный каталог Windows:
%System%\rundll32.vbe
Для автоматического запуска при следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Windows Security Assistant"="%System%\rundll32.vbe" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows Security Assistant"="%System%\rundll32.vbe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Assistant"="%System%\rundll32.vbe"
Деструктивная активность
При запуске троянец изменяет значение следующих ключей реестра:
- Подменяет стартовую страницу при запуске браузера:
[HKCU\Software\Microsoft\Internet Explorer\Main] "StartPage"=http://www.al*******ch.com/start.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"=http://www.al*******ch.com/start.html
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page"=http://www.al*******ch.com/search.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Search Page"=http://www.al*******ch.com/search.html
[HKCU\Software\Microsoft\Internet Explorer\Main] "SearchURL"="http://www.al*******ch.com/start.html" [HKLM\Software\Microsoft\Internet Explorer\Main] "SearchURL"=http://www.al*******ch.com/start.html [HKCU\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"=http://www.al*******ch.com/search.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://www.al*******ch.com/search.html"
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://www.al*******ch.com/search.html" [HKLM\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://www.al*******ch.com/search.html"
[HKLM\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://www.al*******ch.com/search.html"
[HKCU\Software\Microsoft\Internet Explorer\TypedURLs] "url1"="http://www.al*******ch.com/start.html"
Далее троянец создает файл в системном каталоге Windows, в который записывает стиль для Internet Explorer:
%System%\readme.txt
После чего разрешает использовать пользовательские стили для IE:
[HKCU\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="1"
Затем устанавливает пользовательский стиль для IE:
[HKCU\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="%System%\readme.txt"
Далее троянец создает файлы-ссылки на Интернет ресурсы:
%Favorites%\Best Incest Sex.URL %Favorites%\Free Viagra Video!.URL %Favorites%\FREE Strip Poker.URL %Favorites%\FREE CASINO !.URL %Favorites%\Free Credit card debt !.URL %Favorites%\Phentermine online FREE.URL %Favorites%\ Sex Drugs - FREE! .URL %Favorites%\ - Hair loss problems.URL %Favorites%\ - TOBACCO.URL %Desktop%\Incest Sex Sites.URL %Desktop%\~VIAGRA VIDEOS !.URL %Desktop%\~STRIP POKER.URL %Desktop%\ ~ HOME BUSINESS!.URL %Desktop%\Sex Drugs - FREE!.URL %Desktop%\YOUNG PRINCESS.URL
Производит переназначение следующих DNS - адресов:
google.com altavista.com yahoo.com thehun.com lycos.com dogpile.com excite.com metacrawler.com search.com google.com altavista.com yahoo.com thehun.com lycos.com dogpile.com excite.com metacrawler.com search.com
на IP 64.124.222.169, изменяя следующий файл:
%System%\drivers\etc\hosts
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить значения параметров реестра:
- Изменить значения ключа реестра на:
- Удалить файлы-ссылки на Интернет ресурсы:
- Открыть файл %System%\drivers\etc\hosts и удалить в нем следующие строки:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Windows Security Assistant"="%System%\rundll32.vbe" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows Security Assistant"="%System%\rundll32.vbe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Security Assistant"="%System%\rundll32.vbe" [HKCU\Software\Microsoft\Internet Explorer\Main] "StartPage"=http://www.al*******ch.com/start.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"=http://www.al*******ch.com/start.html [HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page"=http://www.al*******ch.com/search.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Search Page"=http://www.al*******ch.com/search.html [HKCU\Software\Microsoft\Internet Explorer\Main] "SearchURL"="http://www.al*******ch.com/start.html" [HKLM\Software\Microsoft\Internet Explorer\Main] "SearchURL"=http://www.al*******ch.com/start.html [HKCU\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"=http://www.al*******ch.com/search.html [HKLM\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://www.al*******ch.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://www.al*******ch.com/search.html" [HKLM\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://www.al*******ch.com/search.html" [HKLM\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://www.al*******ch.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\TypedURLs] "url1"="http://www.al*******ch.com/start.html" [HKCU\Software\Microsoft\Internet Explorer\Styles] "User Stylesheet"="%System%\readme.txt"
[HKCU\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="0"
%Favorites%\Best Incest Sex.URL %Favorites%\Free Viagra Video!.URL %Favorites%\FREE Strip Poker.URL %Favorites%\FREE CASINO !.URL %Favorites%\Free Credit card debt !.URL %Favorites%\Phentermine online FREE.URL %Favorites%\ Sex Drugs - FREE! .URL %Favorites%\ - Hair loss problems.URL %Favorites%\ - TOBACCO.URL %Desktop%\Incest Sex Sites.URL %Desktop%\~VIAGRA VIDEOS !.URL %Desktop%\~STRIP POKER.URL %Desktop%\ ~ HOME BUSINESS!.URL %Desktop%\Sex Drugs - FREE!.URL %Desktop%\YOUNG PRINCESS.URL
64.124.222.169 google.com" 64.124.222.169 altavista.com" 64.124.222.169 yahoo.com" 64.124.222.169 thehun.com" 64.124.222.169 lycos.com" 64.124.222.169 dogpile.com" 64.124.222.169 excite.com" 64.124.222.169 metacrawler.com" 64.124.222.169 search.com"
