-
Trojan.Startpage.Q
Вирус первой категории
Обнаружен: 30 сентября 2005 года
Последнее обновление: 1 октября 2005, 10:42:07 PM
Длина кода: 22 663 байт
Уязвимые системы: Windows 2000, Windows NT, Windows XP
Trojan.Startpage.Q это Троян, который пытается изменить домашнюю страницу Internet Explorer и отвечающие за это ключи реестра.
Технические детали:
При запуске Trojan.Startpage.Q выполняет следующие действия:
1. Копирует себя как:
%Windir%SonudMan.exe
%System%he1p.exe
2. Добавляет значение:
"SonudMan" = "Windir%SonudMan.exe"
в секцию реестра:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurretVer sionRun
Для запуска при каждом старте Windows.
3. Модифицирует значение:
"(Default)" = "%System%he1p.exe"%1""
в секции реестра:
HKEY_CLASSES_ROOT xtfileshellopencommand
Из – за этого Троян запускается всякий раз, когда вы открываете текстовый файл.
4. Модифицирует значение:
"DisableTaskMgr" = "1"
в секции реестра:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciessystem
Для отключения Task Manager.
5. Модифицирует значение:
"HomePage" = "1"
в секции реестра:
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
6. Модифицирует значение:
"CheckedValue" = "0"
в секции реестра:
HKEY_LOCAL_MACHINESOFTWAREmicrosoftwindowscurrentv ersionexploreradvancedfolderhiddenshowall
7. Пытается закрыть следующие окна:
Window Name: joyiex
Window Class: ddqxyz
Window Name: Windows +++
Window Class: ThunderRT6FormDC
Window Name: [VARIES]
Window Class: TKillqqvir
Window Name: qqav
Window Class: TApplication
8. Конектится к: [http://]msg.cd321.com/[REMOVED]/msg скачивает следующие файлы:
ie1.txt
msg1.txt
msg2.txt
msg3.txt
и сохраняет их как:
she11.dll
msg1.dll
msg2.dll
msg3.dll
9. Пытается скачать и выполнить дополнительные файлы со следующего URL, который получен от ранее скачанных файлов:
[http://]www.joyiex.com/[REMOVED]/520.exe
10. Изменяет значения:
"Start Page" = "[CONTENTS OF DOWNLOADED FILE]"
"SearchURL" = "[CONTENTS OF DOWNLOADED FILE]"
"Local Page" = "[CONTENTS OF DOWNLOADED FILE]"
"Search Bar" = "[CONTENTS OF DOWNLOADED FILE]"
"Search Page" = "[CONTENTS OF DOWNLOADED FILE]"
"First Home Page" = "[CONTENTS OF DOWNLOADED FILE]"
"default_page_url" = "[CONTENTS OF DOWNLOADED FILE]"
"Default_Search_URL" = "[CONTENTS OF DOWNLOADED FILE]"
в секции реестра:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
для изменения установок Internet Explorer.
ВНИМАНИЕ: [СОДЕРЖИМОЕ СКАЧЕННОГО ФАЙЛА] URL содержится в she11.dll и на момент написания статьи URL был такой: [http://]www.joyiex.com/[REMOVED].
11. Изменяет значения:
"url1" = "[CONTENTS OF DOWNLOADED FILE]"
"url2" = "[CONTENTS OF DOWNLOADED FILE]"
"url3" = "[CONTENTS OF DOWNLOADED FILE]"
в секции реестра:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs
для изменения установок Internet Explorer.
Информация предоставлена: Symantec Security Response
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да, описания Symantec классные делает ;-)))....
-
-
Кривовато закопипасчено =)
А почему в разделе вирусы? И вообще что в этом образчике такого интересного, заслуживающего отдельного упоминания? =)