Trojan.Win32.Searex
Материал из Total Malware Info
Trojan.Win32.Searex Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт.
Деструктивная активность
Извлекает из своего тела файл:
%WinDir%\system.reg
и запускает его. При запуске данного файла в реестр вносятся следующие изменения:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SystemSearch"="C:/WINDOWS/REGEDIT.EXE -s C:/WINDOWS/system.reg"
данный параметр ключа автозагрузки системного реестра будет вносить изменения в реестр из извлеченного трояном файла при каждой последующей загрузке Windows.
[HKCR\PROTOCOLS\Handler\mhtml] “Default”=" " "CLSID"=" "
Данное изменение отменяет ассоциацию с файлами типа .mhtml.
[HKCU\Software\Microsoft\Internet Explorer] "SearchURL"=http://www.s******l.com/ie/
Данное изменение устанавливает стартовую страницу Internet Explorer на http://www.s******l.com/ie/.
[HKCU\Software\Microsoft\Internet Explorer\Main] "Use Search Asst"="no" "Use Custom Search URL"=dword:00000001 "Default_Search_URL"="http://www.s******l.com/ie/" "Search Page"="http://www.s******l.com/ie/" "Search Bar"="http://www.s******l.com/ie/" "SearchURL"="http://www.s******l.com/ie/"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://www.s******l.com/ie/" "CustomizeSearch"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://www.s******l.com/ie/"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Search Page"="http://www.s******l.com/ie/" "Default_Search_URL"="http://www.s******l.com/ie/"
Данные изменения перенаправляют поисковый интерфейс в Internet Explorer на адрес http://www.s******l.com/ie/
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "ITBarLayout"=hex:11,00,00,00,4c,00,00,00,00,00,00,00,30,00,00,00,1b,00,00,00,\ 64,00,00,00,01,00,00,00,a0,06,00,00,e9,02,00,00,05,00,00,00,62,04,00,00,26,\ 00,00,00,02,00,00,00,a1,06,00,00,f7,02,00,00,04,00,00,00,a1,00,00,00,11,03,\ 00,00,03,00,00,00,a9,02,00,00,0b,03,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,01,24,d0,30,81,6a,d0,11,82,74,00,c0,4f,\ d5,ae,38,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Данное значение параметра изменяет внешний вид панели инструментов в Internet Explorer. Так же троян открывает следующую ссылку при помощи Internet Explorer:
http://216.******7.40/yespop/done.php?x=x
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах системного реестра:
- Удалить файлы:
- Восстановить исходную стартовую страницу в Internet Explorer.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "ITBarLayout" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SystemSearch"="C:/WINDOWS/REGEDIT.EXE -s C:/WINDOWS/system.reg"
%WinDir%\system.reg
