Trojan.Win32.Harnig.d

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Harnig.d

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 4 608 байт. Не упакована. Написана на C++.

Деструктивная активность

При запуске троянец создает ключ реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\reg33.exe"

После этого троянец каждые полсекунды выполняет следующие действия:

  • изменяет значения ключей системного реестра:
    • [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://great*****h.biz/"
"Start Page"="http://great*****h.biz/"
"Default_Page_URL"="http://great*****h.biz/"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://great*****h.biz/"
"Start Page"="http://great*****h.biz/"
"Default_Page_URL"="http://great*****h.biz/"
  • удаляет файлы:
    • %WinDir%\hosts
%WinDir%\System32\Drivers\hosts
  • завершает процессы из списка:
    • ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
runddl.exe
loader.exe
loadclean.exe
rundll32.exe
serve.exe
ControlPanel
  • удаляет ключи системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ControlPanel"
"Key2"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\reg33.exe"
  4. Изменить значения ключей системного реестра на исходные(как работать с реестром?):
    5. [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://great*****h.biz/"
"Start Page"="http://great*****h.biz/"
"Default_Page_URL"="http://great*****h.biz/"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://great*****h.biz/"
"Start Page"="http://great*****h.biz/"
"Default_Page_URL"="http://great*****h.biz/"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Harnig.d»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.