Показано с 1 по 1 из 1.

Trojan.Win32.Krotten.dr - очередной зловред за 25 гривен

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387

    Trojan.Win32.Krotten.dr - очередной зловред за 25 гривен

    Исполняемый файл имееет размер 137 кб, иконка по виду напоминает иконку инсталляционного пакета. Исполняемый файл защищен протектором, детектирующим наличие в системе отладчиков. В случае запуска выводит сообщение на русском языке с множеством грамматических ошибок о том, что следует перезагрузить ПК для того, чтобы узнать, как спасти информацию. До этого троян скрытно вносит в систему ряд изменений:
    1. Создает политики, блокирующие меню "Пуск", рабочий стол и отображение дисков
    2. Модифицирует настройки Internet Explorer, отключая большинство его функций
    3. Отключает через политики диспетчер задач и редактор реестра
    4. Меняет заголовок проводника и его стартовую страницу
    5. Меняет формат времени в региональных настройках
    6. Устанавливает сообщение, выводимое в ходе перезагрузки компьютера - в сообщении указано, что следует выслать автору код карты оплаты KievStar номиналом 25 гривен для получения "противоядия" для восстановления "всей" информации
    6. Устраивает ряд мелких, но достадных безобразий с настройками в реестре (смещает обои, устанавливает длительную задержку отображения меню, блокирует закрытие окон, создает на диске пустые папки "Windows 91" и "Windows 98", устанавливает атрибуты "скрытый", "только чтение" и "системный" на папки WINDOWS и "Program Files" и т.п.).
    7. Уничтожает ассоциацию для файлов типа REG, тем самым блокируя импорт REG файлов
    Зловред отличается от предыдущих разновидностей тем, что создает на диске свои копии (исследованный образец создал копии под именами WINDOWS\pchealth\UploadLB\Config\AvpM.exe и WINDOWS\msagent\intl\ALG.exe), и прописывает их в автозапуск. Таким образом откат повреждений системы без уничтожения самого зловреда бесполезен.
    Для восстановления работоспособности системы следует:
    1. Найти и уничтожить файлы зловреда на диске
    2. Запустить AVZ (это возможно через Пуск\Все программы\Стандартные - командная строка или по комбинации Win+E запустить проводник) и выполнить скрипт (пуск - выполнить скрипт):
    Код:
    var 
     i : integer; 
    begin 
     for i := 1 to 8 do 
      ExecuteRepair(i); 
     ExecuteRepair(11); 
     ExecuteRepair(16); 
     ExecuteRepair(17); 
     RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); 
     DeleteDirectory('%SysDisk%\Windows 91');         
     DeleteDirectory('%SysDisk%\Windows 98'); 
     ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true); 
     ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true); 
     RebootWindows(true); 
    end.
    Последний раз редактировалось Зайцев Олег; 24.09.2007 в 23:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Trojan.Win32.Krotten.bk
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 04.09.2009, 23:57
  2. Trojan.Win32.Krotten.gr
    От djkuf в разделе Помогите!
    Ответов: 34
    Последнее сообщение: 22.02.2009, 05:52
  3. Trojan.Win32.Krotten.fx
    От Alexsivak в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 22.02.2009, 05:45
  4. Trojan.Win32.Agent.il (KAV), Trojan.Griven (DrWeb) - троян за 25 гривен :)
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 76
    Последнее сообщение: 03.06.2008, 13:07
  5. Trojan.Win32.Krotten.fx
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 2
    Последнее сообщение: 25.04.2008, 09:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00267 seconds with 16 queries