# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan.Win32.Krotten.bk

## Зайцев Олег

Видимые проявления:  
1. Требование заплатить 25 WMZ в ходе загрузки системы
2. Блокировка диспетчера задач и настроек системы
2. Многочисленные повреждения настроек системы 

Синонимы:  
Trojan.StartPage (Symantec)
Trojan.Plastix (DrWeb)
Trj/Sirery.A (Panda) 

Троянская программа внушительного размера (встречаются образцы от 190 кб - упакованные UPX и до 450 кб, исследованный образец имел размер 192 кб). Сам троян написан на Delphi и по сущности является инсталлятором. В случае запуска единственное видимое проявление состоит в выводе на экран диалогового окна с текстом: 




> Перезагрузите компьютер ! И прочитайте, что необходимо предпринять. Email разработчиков программы: xxx


В исследованных образцах адрес разработчиков начинается с trojan-plastix. Деструктивная деятельность трояна крайне примитивна и сводится к следующим операциям: 
1. В текущей папке программы создается файл ImportReg.reg 
2. Этот файл копируется в папку TEMP 
3. Производится запуск утилиты Regedit для импорта файла ImportReg.reg в реестр (Regedit /s C:\WINDOWS\TEMP\ImportReg.reg) 
4. Файл TEMP\ImportReg.reg удаляется и программа завершает свою работу 
Файл ImportReg.reg предназначен для 
1. внесения множества модификаций в реестр - модификации формата времени, вывода сообщения в ходе автозапуска, блокировки множества функций проводника и создания политик безопасности, ограничивающих возможности по настройке системы. В частности, блокируется диспетчер задач, настройка даты и времени.   
2. Внесение в реестр текста сообщения (с грамматическими и синтаксическими ошибками), выводимого в ходе загрузки. Сообщение имеет вид: 



> "Для того, чтобы восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail: xxxx код пополнения счета на 25 WMZ. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы."


3. Удаления ключей реестра с ассоциациями для файлов *.reg, *.cmd и *.bat. Эти меры направлены на усложнение автоматического восстановления настроек системным администратором 

*Удаление и восстановление системы* 
1. Удалить вредоносную программу. Она не записывается в автозапуск и не маскируется, поэтому сделать ее несложно; 
2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы> и отметить пункты: <Восстановление параметров запуска EXE, COM, PIF файлов>, <Сброс настроек поиска Internet Explorer на стандартные>, <Восстановление стартовой страницы Internet Explorer>, <Восстановление настроек рабочего стола>, <Удаление всех Policies>, <Удаление сообщения, выводимого в ходе Winlogon>, <Восстановление настроек проводника>, <Разблокировка диспетчера задач>. После этого необходимо нажать кнопку <Выполнить отмеченные операции> и перезагрузиться 
3. После перезагрузки следует зайти в панель управления, открыть <Язык и региональные настройки>, нажать кнопку <Настройка> на закладке <Региональные параметры>, и в окне настройки региональных параметров на закладке <Время> задать желаемый формат времени. В русскоязычной Windows по умолчанию применяется формат <H:mm:ss>

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

В середине ноября - начале декабря появились новые модификации - Trojan.Win32.Krotten.br (по касперу), Trojan.Plastix (по Доктору). Скачены с сайта, рекламирующего генераторы ключей для пополнения счетов мобилок украинских операторов мобильной связи. Размер - под 400 с копейками кил. Также написан на Дельфи, в тексте можно найти текст, выводящийся на экран, адрес их сайта и требование отсылки кода пополнения счета Kyivstar25.
В отличие от предыдущих модификаций прописываются shell'ом в winlogon в виде c:\windows\system32\FindLAN.EXE

----------


## kelevra

недавно нашёл этого трояна под видом генератора ключей для ReGet Deluxe на многих сайтах с crack-ми будьте внимательны и осторожны!

----------


## My_DeMoN

Доброго всем времени суток, есть вопросик на эту темку...
Что делать если этот Trojan.Plastix заблокировал открывание флешки, и не только автоматическое, у меня комп ваще ни одной флешки не видит, подскажите че делать?

----------


## SDA

My_DeMoN - http://virusinfo.info/showthread.php?t=1235

----------


## My_DeMoN

Большое спасибо, но проблема перестала существовать, ишо до этого, путем не сложных логических умозаключений просто снес драйвер для USB запоминающих устройств и после перезагрузки произошла переустановка драйвера как приложения Plug a Play ))) Но все равно спасибо, а все описанное в вашей ссылке я сделал ишо два дня назад, но все равно спасибо  :Cool:

----------


## tracert

> 2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы>


 Вчера столкнулся с модификацией. Файл Photo.exe. Плюс к описанным "прелестям" добавляет "запрет запуска программ". Поэтому запуск AVZ невозможен и тем более его режим восстановления недоступен. Правил реестр в ручную, загрузившись с LiveCD.  Вот если бы AVZ мог, по примеру ERD, цепляться к произвольной системе!!! Например, при загрузке с LiveCD (или при подсоединении "больного диска" к "здоровой" системе) указываем систему на диске который мы хотим исследовать. И все действия по восстановлению системы делаем автоматически, через привычный интерфейс AVZ, его же стандартными средствами. Или это утопия?

----------


## belan79

Есть вариант противодействия троянцу рното.ехе загружаем систему в "защищенном режиме с поддержкой командной строки". В консоли набираем команды:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Pol  icies\Explorer
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Pol  icies\Explorer
На каждый запрос удаления отвечаем положительно (вводим Y), после чего выполняем команду explorer.exe для запуска Проводника, в котором уже перестают действовать установленные зловредом ограничения на запуск программ.Запускаем AVZ  :Smiley:

----------


## borka

> Есть вариант противодействия троянцу рното.ехе загружаем систему в "защищенном режиме с поддержкой командной строки". В консоли набираем команды:
> REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Pol  icies\Explorer
> REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Pol  icies\Explorer
> На каждый запрос удаления отвечаем положительно (вводим Y), после чего выполняем команду explorer.exe для запуска Проводника, в котором уже перестают действовать установленные зловредом ограничения на запуск программ.Запускаем AVZ


О... Если бы все было так просто...

----------

