Trojan.Win32.StartPage.bm

Материал из Total Malware Info

Trojan.Win32.StartPage.bm

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 3 584 байта. Написана на C++.

Деструктивная активность

При запуске троянец каждые пять секунд троянец выполняет следующие действия: ищет окно с именем "System - Microsoft Internet Explorer" и завершает его работу. удаляет файлы:

%WinDir%\hosts
%WinDir%\system32\drivers\etc\hosts

изменяет значение ключей системного реестра, что приводит к изменениям настроек "Internet Explorer":

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure32.html"
"Start Page"="%WinDir%\secure32.html"
"Default_Page_URL"="%WinDir%\secure32.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure32.html"
"Start Page"="%WinDir%\secure32.html"
"Default_Page_URL"="%WinDir%\secure32.html"

Если на зараженном компьютере установлена операционная система Windows 9x троянец скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значения ключей системного реестра на исходные (как работать с реестром?):

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure32.html"
"Start Page"="%WinDir%\secure32.html"
"Default_Page_URL"="%WinDir%\secure32.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Local Page"="%WinDir%\secure32.html"
"Start Page"="%WinDir%\secure32.html"
"Default_Page_URL"="%WinDir%\secure32.html"