Trojan.Win32.StartPage.hg

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.StarPage.hz

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 11 264 байта. Упакована UPX. Распакованный размер – около 28 КБ. Написана на C++.

Деструктивная активность

При запуске троянец создает следующий ключ системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"runwin32"="C:\Windows\runwin32.exe"

После этого троянец приостанавливает свою работу на 5 минут и выполняет следующие действия:

  • осуществляет автоматический дозвон к интернету, используя настройки по умолчанию.
  • устанавливает следующие ключи системного реестра:
    • [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=0
"1004"=0
"1200"=0
"1201"=0
"1206"=3
"1400"=0
"1402"=0
"1405"=0
"1406"=0
"1407"=0
"1601"=0
"1604"=0
"1605"=0
"1606"=0
"1607"=0
"1608"=0
"1609"=0
"1800"=0
"1802"=0
"1803"=0
"1804"=0
"1805"=0
"1A00"=0
"1A02"=0
"1A04"=0
"1A05"=0
"1A06"=0
"1A10"=0
"1C00"=0
"1E05"=0
"2001"=3
"2004"=3
  • если Internet Explorer установлен на диске С:\, D:\, E:\ или F:\, то троянец при его помощи открывает следующую ссылку:
    • http://d.dia******4.com/?ndrs
  • изменяет следующие значения ключей системного реестра:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.se******up.com/search.php?aid=1057"
"Search Page"="http://www.se******up.com/search.php?aid=1057"
"Search Bar"="http://www.se******up.com/search.php?aid=1057"

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Start Page="http://www.se******up.com/search.php?aid=1057"
"Search Page"="http://www.se******up.com/search.php?aid=1057"
"Search Bar"="http://www.se******up.com/search.php?aid=1057"

[HKLM\Software\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.se******up.com/search.php?aid=1057"
"SearchAssistant"="http://www.se******up.com/search.php?aid=1057"

[HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
"provider"="umax"
"(Default)"="http://www.se******up.com/search.php?aid=1057"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключи системного реестра (как работать с реестром?)
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"runwin32"="C:\Windows\runwin32.exe"
  4. Изменить значения ключей реестра на исходные(как работать с реестром?)
    5. [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.se******up.com/search.php?aid=1057"
"Search Page"="http://www.se******up.com/search.php?aid=1057"
"Search Bar"="http://www.se******up.com/search.php?aid=1057"

[HKLM\Software\Microsoft\Internet Explorer\Main]
"Start Page="http://www.se******up.com/search.php?aid=1057"
"Search Page"="http://www.se******up.com/search.php?aid=1057"
"Search Bar"="http://www.se******up.com/search.php?aid=1057"

[HKLM\Software\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.se******up.com/search.php?aid=1057"
"SearchAssistant"="http://www.se******up.com/search.php?aid=1057"

[HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
"provider"="umax"
"(Default)"="http://www.se******up.com/search.php?aid=1057"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.StartPage.hg»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.