Trojan.Win32.StartPage.adi
Материал из Total Malware Info
Содержание |
Trojan.Win32.StartPage.adi
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 4 265 байт. Упакована при помощи FSG. Распакованный размер – около 20 КБ. Написана на C++.
Инсталляция
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SysTray"="<полное имя троянца>"
Деструктивная активность
При запуске троянец каждые три секунды выполняет следующие действия: ищет файлы с именами:
%WinDir%\secure32.html %ProgramFiles%\secure32.html
Если такие существуют троянец копирует их под именем:
C:\secure32.html
устанавливает данный файл в качестве стартовой страницы Internet Explorer путем изменения ключей системного реестра:
[HKLM\Software\Microsoft\Internet Explorer\Main "Local Page"="c:\secure32.html" [HKLM\Software\Microsoft\Internet Explorer\Main "Start Page"="c:\secure32.html" [HKLM\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Local Page"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Start Page"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"="c:\secure32.html"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи ("Диспетчера задач") завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить ключ системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SysTray"
Изменить значения ключей системного реестра на исходные (как работать с реестром?):
[HKLM\Software\Microsoft\Internet Explorer\Main "Local Page"="c:\secure32.html" [HKLM\Software\Microsoft\Internet Explorer\Main "Start Page"="c:\secure32.html" [HKLM\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Local Page"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Start Page"="c:\secure32.html" [HKCU\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"="c:\secure32.html"
Удалить файл:
C:\secure32.html
