Зайцев Олег
17.11.2006, 09:53
Видимые проявления:
1. Требование заплатить 25 WMZ в ходе загрузки системы
2. Блокировка диспетчера задач и настроек системы
2. Многочисленные повреждения настроек системы
Синонимы:
Trojan.StartPage (Symantec)
Trojan.Plastix (DrWeb)
Trj/Sirery.A (Panda)
Троянская программа внушительного размера (встречаются образцы от 190 кб - упакованные UPX и до 450 кб, исследованный образец имел размер 192 кб). Сам троян написан на Delphi и по сущности является инсталлятором. В случае запуска единственное видимое проявление состоит в выводе на экран диалогового окна с текстом:
Перезагрузите компьютер ! И прочитайте, что необходимо предпринять. Email разработчиков программы: xxx
В исследованных образцах адрес разработчиков начинается с trojan-plastix. Деструктивная деятельность трояна крайне примитивна и сводится к следующим операциям:
1. В текущей папке программы создается файл ImportReg.reg
2. Этот файл копируется в папку TEMP
3. Производится запуск утилиты Regedit для импорта файла ImportReg.reg в реестр (Regedit /s C:\WINDOWS\TEMP\ImportReg.reg)
4. Файл TEMP\ImportReg.reg удаляется и программа завершает свою работу
Файл ImportReg.reg предназначен для
1. внесения множества модификаций в реестр - модификации формата времени, вывода сообщения в ходе автозапуска, блокировки множества функций проводника и создания политик безопасности, ограничивающих возможности по настройке системы. В частности, блокируется диспетчер задач, настройка даты и времени.
2. Внесение в реестр текста сообщения (с грамматическими и синтаксическими ошибками), выводимого в ходе загрузки. Сообщение имеет вид:
"Для того, чтобы восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail: xxxx код пополнения счета на 25 WMZ. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы."
3. Удаления ключей реестра с ассоциациями для файлов *.reg, *.cmd и *.bat. Эти меры направлены на усложнение автоматического восстановления настроек системным администратором
Удаление и восстановление системы
1. Удалить вредоносную программу. Она не записывается в автозапуск и не маскируется, поэтому сделать ее несложно;
2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы> и отметить пункты: <Восстановление параметров запуска EXE, COM, PIF файлов>, <Сброс настроек поиска Internet Explorer на стандартные>, <Восстановление стартовой страницы Internet Explorer>, <Восстановление настроек рабочего стола>, <Удаление всех Policies>, <Удаление сообщения, выводимого в ходе Winlogon>, <Восстановление настроек проводника>, <Разблокировка диспетчера задач>. После этого необходимо нажать кнопку <Выполнить отмеченные операции> и перезагрузиться
3. После перезагрузки следует зайти в панель управления, открыть <Язык и региональные настройки>, нажать кнопку <Настройка> на закладке <Региональные параметры>, и в окне настройки региональных параметров на закладке <Время> задать желаемый формат времени. В русскоязычной Windows по умолчанию применяется формат <H:mm:ss>
1. Требование заплатить 25 WMZ в ходе загрузки системы
2. Блокировка диспетчера задач и настроек системы
2. Многочисленные повреждения настроек системы
Синонимы:
Trojan.StartPage (Symantec)
Trojan.Plastix (DrWeb)
Trj/Sirery.A (Panda)
Троянская программа внушительного размера (встречаются образцы от 190 кб - упакованные UPX и до 450 кб, исследованный образец имел размер 192 кб). Сам троян написан на Delphi и по сущности является инсталлятором. В случае запуска единственное видимое проявление состоит в выводе на экран диалогового окна с текстом:
Перезагрузите компьютер ! И прочитайте, что необходимо предпринять. Email разработчиков программы: xxx
В исследованных образцах адрес разработчиков начинается с trojan-plastix. Деструктивная деятельность трояна крайне примитивна и сводится к следующим операциям:
1. В текущей папке программы создается файл ImportReg.reg
2. Этот файл копируется в папку TEMP
3. Производится запуск утилиты Regedit для импорта файла ImportReg.reg в реестр (Regedit /s C:\WINDOWS\TEMP\ImportReg.reg)
4. Файл TEMP\ImportReg.reg удаляется и программа завершает свою работу
Файл ImportReg.reg предназначен для
1. внесения множества модификаций в реестр - модификации формата времени, вывода сообщения в ходе автозапуска, блокировки множества функций проводника и создания политик безопасности, ограничивающих возможности по настройке системы. В частности, блокируется диспетчер задач, настройка даты и времени.
2. Внесение в реестр текста сообщения (с грамматическими и синтаксическими ошибками), выводимого в ходе загрузки. Сообщение имеет вид:
"Для того, чтобы восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail: xxxx код пополнения счета на 25 WMZ. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы."
3. Удаления ключей реестра с ассоциациями для файлов *.reg, *.cmd и *.bat. Эти меры направлены на усложнение автоматического восстановления настроек системным администратором
Удаление и восстановление системы
1. Удалить вредоносную программу. Она не записывается в автозапуск и не маскируется, поэтому сделать ее несложно;
2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы> и отметить пункты: <Восстановление параметров запуска EXE, COM, PIF файлов>, <Сброс настроек поиска Internet Explorer на стандартные>, <Восстановление стартовой страницы Internet Explorer>, <Восстановление настроек рабочего стола>, <Удаление всех Policies>, <Удаление сообщения, выводимого в ходе Winlogon>, <Восстановление настроек проводника>, <Разблокировка диспетчера задач>. После этого необходимо нажать кнопку <Выполнить отмеченные операции> и перезагрузиться
3. После перезагрузки следует зайти в панель управления, открыть <Язык и региональные настройки>, нажать кнопку <Настройка> на закладке <Региональные параметры>, и в окне настройки региональных параметров на закладке <Время> задать желаемый формат времени. В русскоязычной Windows по умолчанию применяется формат <H:mm:ss>