Trojan.Win32.StartPage.os
Материал из Total Malware Info
Содержание |
Trojan.Win32.StartPage.os
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 16 384 байта. Написана на C++.
Инсталляция
Троянец копирует свой исполняемый файл под именем:
%WinDir%\System\sysdll32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysdll32.dll"="%WinDir%\System\sysdll32.exe"
Деструктивная активность
При запуске троянец устанавливает следующие значения ключей системного реестра:
[HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://pros******.com/" "Search Page"="http://pros******.com/search.html" [HKLM\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://pros******.com/search.html" "CustomizeSearch"="http://pros******.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\Search] "CustomizeSearch"="http://pros******.com/search.html" "Default_Search_URL"="http://pros******.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://pros******.com/" "Search Page"="http://pros******.com/search.html" "Default_Search_URL"="http://pros******.com/search.html" "Default_Page_URL"="http://pros******.com/"
Далее троянец создает файл в корневой папке Windows:
%WinDir%\winstyle.css (Имеет размер 583 байта. Детектируется Антивирусом Касперского как Trojan.VBS.StartPage)
Также троянец устанавливает ключи системного реестра:
[HKLM\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="0x1" "User Stylesheet"="%WinDir%\winstyle.css" [HKCU\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="0x1" "User Stylesheet"="%WinDir%\winstyle.css"
В папке «Избранное»(«Favorites») троянец создает ярлыки с именами:
%UserProfile%\Favorites\FREE TEENS GALLERIES.url %UserProfile%\Favorites\FREE RAPE GALLERIES.url %UserProfile%\Favorites\BEST RAPE SITES.url
Созданные ярлыки ссылаются на следующие сетевые ресурсы соответственно:
http://sexlinks.teens-files.com http://rape.teens-files.com http://qrape.com
После этого троянец завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
- Удалить ключ системного реестра (как работать с реестром?):
- Изменить значения ключей системного реестра на исходные (как работать с реестром?):
%WinDir%\System\sysdll32.exe %WinDir%\winstyle.css %UserProfile%\Favorites\FREE TEENS GALLERIES.url %UserProfile%\Favorites\FREE RAPE GALLERIES.url %UserProfile%\Favorites\BEST RAPE SITES.url
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysdll32.dll"="%WinDir%\System\sysdll32.exe"
[HKLM\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://pros******.com/" "Search Page"="http://pros******.com/search.html" [HKLM\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://pros******.com/search.html" "CustomizeSearch"="http://pros******.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\Search] "CustomizeSearch"="http://pros******.com/search.html" "Default_Search_URL"="http://pros******.com/search.html" [HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://pros******.com/" "Search Page"="http://pros******.com/search.html" "Default_Search_URL"="http://pros******.com/search.html" "Default_Page_URL"="http://pros******.com/"[HKLM\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="0x1" "User Stylesheet"="%WinDir%\winstyle.css" [HKCU\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet"="0x1" "User Stylesheet"="%WinDir%\winstyle.css"
