Trojan.Win32.Harnig.h

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Harnig.h

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 3 584 байта. Написана на C++.

Деструктивная активность

При запуске троянец создает ключ системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\Reg32.exe"

После этого троянец каждые пять секунд выполняет следующие действия:

  • ищет в системе окно с именем "System - Microsoft Internet Explorer" и завершает его работу.
  • удаляет файлы:
    • %Windir%\hosts
%System%\drivers\etc\hosts
  • изменяет ключи системного реестра:
    • [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://images.ex********rgins.com/secure.html"
"Start Page"="http://images.ex********rgins.com/secure.html"
"Default_Page_URL"="http://images.ex********rgins.com/secure.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://images.ex********rgins.com/secure.html"
"Start Page"="http://images.ex********rgins.com/secure.html"
"Default_Page_URL"="http://images.ex********rgins.com/secure.html"

Если на зараженном компьютере установлена операционная система Windows 9x, троянец скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ системного реестра (как работать с реестром?):
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Reg32"="%WinDir%\Reg32.exe"
  4. Изменить значения ключей системного реестра на исходные (как работать с реестром?):
    5. [HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://images.ex********rgins.com/secure.html"
"Start Page"="http://images.ex********rgins.com/secure.html"
"Default_Page_URL"="http://images.ex********rgins.com/secure.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://images.ex********rgins.com/secure.html"
"Start Page"="http://images.ex********rgins.com/secure.html"
"Default_Page_URL"="http://images.ex********rgins.com/secure.html"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Harnig.h»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.