Trojan.Win32.Harnig.c

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Harnig.c

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 5 120 байт. Написана на C++.

Деструктивная активность

При запуске троянец создает ключ системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\Reg33.exe"

После этого троянец каждые полсекунды выполняет следующие действия:

  • удаляет файлы:
    • %Windir%\hosts
%System%\drivers\etc\hosts
  • завершает все процессы из списка:
    • ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
runddl.exe
loader.exe
loadclean.exe
rundll32.exe
serve.exe
  • удаляет ключи системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ControlPanel"
"Key2"
  • ищет в системе окно с именем "System - Microsoft Internet Explorer" и завершает его работу.
  • изменяет ключи системного реестра:
    • [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure.html"
"Start Page"="%WinDir%\secure.html"
"Default_Page_URL"="%WinDir%\secure.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure.html"
"Start Page"="%WinDir%\secure.html"
"Default_Page_URL"="%WinDir%\secure.html"

Если на зараженном компьютере установлена операционная система Windows 9x, троянец скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\Reg33.exe"
  4. Изменить значения ключей системного реестра на исходные (как работать с реестром?):
    5. [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure.html"
"Start Page"="%WinDir%\secure.html"
"Default_Page_URL"="%WinDir%\secure.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure.html"
"Start Page"="%WinDir%\secure.html"
"Default_Page_URL"="%WinDir%\secure.html"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Harnig.c»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.