Trojan.Startpage.Q

[SDA]

Вирус первой категории
Обнаружен: 30 сентября 2005 года
Последнее обновление: 1 октября 2005, 10:42:07 PM
Длина кода: 22 663 байт
Уязвимые системы: Windows 2000, Windows NT, Windows XP

Trojan.Startpage.Q это Троян, который пытается изменить домашнюю страницу Internet Explorer и отвечающие за это ключи реестра.

Технические детали:

При запуске Trojan.Startpage.Q выполняет следующие действия:

1. Копирует себя как:

%Windir%SonudMan.exe
%System%he1p.exe

2. Добавляет значение:

"SonudMan" = "Windir%SonudMan.exe"

в секцию реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurretVer sionRun

Для запуска при каждом старте Windows.

3. Модифицирует значение:

"(Default)" = "%System%he1p.exe"%1""

в секции реестра:

HKEY_CLASSES_ROOT xtfileshellopencommand

Из – за этого Троян запускается всякий раз, когда вы открываете текстовый файл.

4. Модифицирует значение:

"DisableTaskMgr" = "1"

в секции реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciessystem

Для отключения Task Manager.

5. Модифицирует значение:

"HomePage" = "1"

в секции реестра:

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel


6. Модифицирует значение:

"CheckedValue" = "0"

в секции реестра:

HKEY_LOCAL_MACHINESOFTWAREmicrosoftwindowscurrentv ersionexploreradvancedfolderhiddenshowall


7. Пытается закрыть следующие окна:

Window Name: joyiex
Window Class: ddqxyz

Window Name: Windows +++
Window Class: ThunderRT6FormDC

Window Name: [VARIES]
Window Class: TKillqqvir

Window Name: qqav
Window Class: TApplication

8. Конектится к: [http://]msg.cd321.com/[REMOVED]/msg скачивает следующие файлы:

ie1.txt
msg1.txt
msg2.txt
msg3.txt

и сохраняет их как:

she11.dll
msg1.dll
msg2.dll
msg3.dll

9. Пытается скачать и выполнить дополнительные файлы со следующего URL, который получен от ранее скачанных файлов:

[http://]www.joyiex.com/[REMOVED]/520.exe

10. Изменяет значения:

"Start Page" = "[CONTENTS OF DOWNLOADED FILE]"
"SearchURL" = "[CONTENTS OF DOWNLOADED FILE]"
"Local Page" = "[CONTENTS OF DOWNLOADED FILE]"
"Search Bar" = "[CONTENTS OF DOWNLOADED FILE]"
"Search Page" = "[CONTENTS OF DOWNLOADED FILE]"
"First Home Page" = "[CONTENTS OF DOWNLOADED FILE]"
"default_page_url" = "[CONTENTS OF DOWNLOADED FILE]"
"Default_Search_URL" = "[CONTENTS OF DOWNLOADED FILE]"

в секции реестра:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

для изменения установок Internet Explorer.

ВНИМАНИЕ: [СОДЕРЖИМОЕ СКАЧЕННОГО ФАЙЛА] URL содержится в she11.dll и на момент написания статьи URL был такой: [http://]www.joyiex.com/[REMOVED].

11. Изменяет значения:

"url1" = "[CONTENTS OF DOWNLOADED FILE]"
"url2" = "[CONTENTS OF DOWNLOADED FILE]"
"url3" = "[CONTENTS OF DOWNLOADED FILE]"

в секции реестра:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs

для изменения установок Internet Explorer.

Информация предоставлена: Symantec Security Response

[Iceman]

Да, описания Symantec классные делает ;-)))....

[Xen]

Кривовато закопипасчено =)

А почему в разделе вирусы? И вообще что в этом образчике такого интересного, заслуживающего отдельного упоминания? =)