Показано с 1 по 3 из 3.

Trojan.Win32.Krotten.fx

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Trojan.Win32.Krotten.fx

    Исполняемый файл зловреда имеет размер 139 кб, иконка визуально похожа на иконку RAR SFX архива. В случае запуска скрытно выполняет следующие операции:
    1. При помощи политики RestrictRun блокирует запуск программ, разрешая запуск только заданных трояном, в частности thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe, WINZIP32.EXE. Как видно из набора программ, будут работать браузеры, программы для работы с электронной почтой, архиваторы. Политика создается в ключах реестра HKCU и HKLM
    2. Блокируется работа с USB накопителями путем отключения системной службы UsbStor
    3. Через настройки в реестре блокируется ряд функциональных возможностей проводника и меню «Пуск», в частности устанавливается рад блокировок, задается неприемлемо большая задержка перед отображением меню, задается маска сокрытия дисков в проводнике и т.п.
    4. Подменяется стартовая страничка IE, заголовок IE меняется на нецензурную фразу
    5. Блокируется функционал Internet Explorer
    6. Через политики блокируется запуск диспетчера задач и редактора реестра
    7. Блокируется изменение свойств экрана
    8. Искажается настройка системы оповещения о том, что на диске не осталось места. По умолчанию данное оповещение выдается, если на диске свободно менее 10% места, зловред изменяет данный параметр на 99%, что приводит к ложным срабатываниям этой системы и постоянной выдаче сообщений о нехватке места на диске
    9. Искажается настройка отображения «обоев» рабочего стола
    10. Строка с форматной маской отображения времени меняется на нецензурное слово, в результате часы в трее и все программы, использующие системную маску форматирования времени начинают выводить это неценсурное слово вместо времени
    11. Отключается служба восстановления системы
    12. Блокируется меню «установка и удаление программ»
    13. Уничтожается ключ реестра regfile\shell\open\command, что приводит к блокировке импорта REG файлов в реестр
    14. Исполняемый файл зловреда копируется в системные папки под именами WINDOWS\Provisioning\Schemas\lsass.exe и WINDOWS\WinSxS\Manifests\explorer.exe, оба файла прописываются в автозапуск, поэтому восстановление работоспособности системы без удаления вредоносных файлов бесполезно – при следующей перезагрузке они опять повредят систему.
    Зловред является типичным трояном-вымогателем, поэтому выполнив перечисленные операции в системе он при загрузке ПК выводит сообщение с требованиями, вымогая определенную сумму денег за восстановление работоспособности компьютера.

    Лечение вручную:
    1. Удалить файлы зловреда и ключи реестра, отвечающие за его автозапуск (AVZ с последними базами детектирует зловреда и уничтожает его автоматически)
    2. AVZ, меню "Файл\Восстановление системы", отметить операции 1-9, 11, 17 и выполнить их
    3. AVZ, меню "Файл\Мастер поиска и устранения проблем" - пофиксить все найденные проблемы.
    4. Панель управления системы, апплет "Язык и региональные стандарты" - установить формат времени в настрйока, типовая форматная маска времени "H:mm:ss"
    В случае, если AVZ не запускается, следует попробовать переименовать avz.exe в одно из имен, перечисленных в п.п. 1 данного описания.
    Последний раз редактировалось Зайцев Олег; 25.04.2008 в 09:50.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Эта модификация выловлена в теме: http://virusinfo.info/showthread.php?t=21866
    Встречена еще здесь: http://virusinfo.info/showthread.php?t=21971

    AVZ запускался только после переименования в IEXPLORE.exe.
    После удаления файлов зловреда помогал скрипт отсюда для восстановления системы:
    http://virusinfo.info/showthread.php?t=12713
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Цитата Сообщение от kps Посмотреть сообщение
    Эта модификация выловлена в теме: http://virusinfo.info/showthread.php?t=21866
    Встречена еще здесь: http://virusinfo.info/showthread.php?t=21971

    AVZ запускался только после переименования в IEXPLORE.exe.
    После удаления файлов зловреда помогал скрипт отсюда для восстановления системы:
    http://virusinfo.info/showthread.php?t=12713
    Да, блокировка работы AVZ - последствие RestrictRun.

Похожие темы

  1. Trojan.Win32.Krotten.bk
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 8
    Последнее сообщение: 04.09.2009, 23:57
  2. Trojan-Ransom.Win32.Krotten.hu
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 21.04.2009, 12:19
  3. Trojan.Win32.Krotten.gr
    От djkuf в разделе Помогите!
    Ответов: 34
    Последнее сообщение: 22.02.2009, 05:52
  4. Trojan.Win32.Krotten.fx
    От Alexsivak в разделе Помогите!
    Ответов: 16
    Последнее сообщение: 22.02.2009, 05:45
  5. Подозрение на Trojan.Win32.Krotten.fq
    От Sky_Tech в разделе Помогите!
    Ответов: 29
    Последнее сообщение: 22.02.2009, 04:57

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00608 seconds with 16 queries