PDA

Просмотр полной версии : Trojan.Win32.Krotten.fx



Зайцев Олег
25.04.2008, 09:27
Исполняемый файл зловреда имеет размер 139 кб, иконка визуально похожа на иконку RAR SFX архива. В случае запуска скрытно выполняет следующие операции:
1. При помощи политики RestrictRun блокирует запуск программ, разрешая запуск только заданных трояном, в частности thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe, WINZIP32.EXE. Как видно из набора программ, будут работать браузеры, программы для работы с электронной почтой, архиваторы. Политика создается в ключах реестра HKCU и HKLM
2. Блокируется работа с USB накопителями путем отключения системной службы UsbStor
3. Через настройки в реестре блокируется ряд функциональных возможностей проводника и меню «Пуск», в частности устанавливается рад блокировок, задается неприемлемо большая задержка перед отображением меню, задается маска сокрытия дисков в проводнике и т.п.
4. Подменяется стартовая страничка IE, заголовок IE меняется на нецензурную фразу
5. Блокируется функционал Internet Explorer
6. Через политики блокируется запуск диспетчера задач и редактора реестра
7. Блокируется изменение свойств экрана
8. Искажается настройка системы оповещения о том, что на диске не осталось места. По умолчанию данное оповещение выдается, если на диске свободно менее 10% места, зловред изменяет данный параметр на 99%, что приводит к ложным срабатываниям этой системы и постоянной выдаче сообщений о нехватке места на диске
9. Искажается настройка отображения «обоев» рабочего стола
10. Строка с форматной маской отображения времени меняется на нецензурное слово, в результате часы в трее и все программы, использующие системную маску форматирования времени начинают выводить это неценсурное слово вместо времени
11. Отключается служба восстановления системы
12. Блокируется меню «установка и удаление программ»
13. Уничтожается ключ реестра regfile\shell\open\command, что приводит к блокировке импорта REG файлов в реестр
14. Исполняемый файл зловреда копируется в системные папки под именами WINDOWS\Provisioning\Schemas\lsass.exe и WINDOWS\WinSxS\Manifests\explorer.exe, оба файла прописываются в автозапуск, поэтому восстановление работоспособности системы без удаления вредоносных файлов бесполезно – при следующей перезагрузке они опять повредят систему.
Зловред является типичным трояном-вымогателем, поэтому выполнив перечисленные операции в системе он при загрузке ПК выводит сообщение с требованиями, вымогая определенную сумму денег за восстановление работоспособности компьютера.

Лечение вручную:
1. Удалить файлы зловреда и ключи реестра, отвечающие за его автозапуск (AVZ с последними базами детектирует зловреда и уничтожает его автоматически)
2. AVZ, меню "Файл\Восстановление системы", отметить операции 1-9, 11, 17 и выполнить их
3. AVZ, меню "Файл\Мастер поиска и устранения проблем" - пофиксить все найденные проблемы.
4. Панель управления системы, апплет "Язык и региональные стандарты" - установить формат времени в настрйока, типовая форматная маска времени "H:mm:ss"
В случае, если AVZ не запускается, следует попробовать переименовать avz.exe в одно из имен, перечисленных в п.п. 1 данного описания.

kps
25.04.2008, 09:41
Эта модификация выловлена в теме: http://virusinfo.info/showthread.php?t=21866
Встречена еще здесь: http://virusinfo.info/showthread.php?t=21971

AVZ запускался только после переименования в IEXPLORE.exe.
После удаления файлов зловреда помогал скрипт отсюда для восстановления системы:
http://virusinfo.info/showthread.php?t=12713

Зайцев Олег
25.04.2008, 09:49
Эта модификация выловлена в теме: http://virusinfo.info/showthread.php?t=21866
Встречена еще здесь: http://virusinfo.info/showthread.php?t=21971

AVZ запускался только после переименования в IEXPLORE.exe.
После удаления файлов зловреда помогал скрипт отсюда для восстановления системы:
http://virusinfo.info/showthread.php?t=12713
Да, блокировка работы AVZ - последствие RestrictRun.