Trojan.Win32.Krotten.bk

[Зайцев Олег]

Видимые проявления:
1. Требование заплатить 25 WMZ в ходе загрузки системы
2. Блокировка диспетчера задач и настроек системы
2. Многочисленные повреждения настроек системы

Синонимы:
Trojan.StartPage (Symantec)
Trojan.Plastix (DrWeb)
Trj/Sirery.A (Panda)

Троянская программа внушительного размера (встречаются образцы от 190 кб - упакованные UPX и до 450 кб, исследованный образец имел размер 192 кб). Сам троян написан на Delphi и по сущности является инсталлятором. В случае запуска единственное видимое проявление состоит в выводе на экран диалогового окна с текстом:

Перезагрузите компьютер ! И прочитайте, что необходимо предпринять. Email разработчиков программы: xxx

В исследованных образцах адрес разработчиков начинается с trojan-plastix. Деструктивная деятельность трояна крайне примитивна и сводится к следующим операциям:
1. В текущей папке программы создается файл ImportReg.reg
2. Этот файл копируется в папку TEMP
3. Производится запуск утилиты Regedit для импорта файла ImportReg.reg в реестр (Regedit /s C:\WINDOWS\TEMP\ImportReg.reg)
4. Файл TEMP\ImportReg.reg удаляется и программа завершает свою работу
Файл ImportReg.reg предназначен для
1. внесения множества модификаций в реестр - модификации формата времени, вывода сообщения в ходе автозапуска, блокировки множества функций проводника и создания политик безопасности, ограничивающих возможности по настройке системы. В частности, блокируется диспетчер задач, настройка даты и времени.
2. Внесение в реестр текста сообщения (с грамматическими и синтаксическими ошибками), выводимого в ходе загрузки. Сообщение имеет вид:

"Для того, чтобы восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail: xxxx код пополнения счета на 25 WMZ. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы."

3. Удаления ключей реестра с ассоциациями для файлов *.reg, *.cmd и *.bat. Эти меры направлены на усложнение автоматического восстановления настроек системным администратором

Удаление и восстановление системы
1. Удалить вредоносную программу. Она не записывается в автозапуск и не маскируется, поэтому сделать ее несложно;
2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы> и отметить пункты: <Восстановление параметров запуска EXE, COM, PIF файлов>, <Сброс настроек поиска Internet Explorer на стандартные>, <Восстановление стартовой страницы Internet Explorer>, <Восстановление настроек рабочего стола>, <Удаление всех Policies>, <Удаление сообщения, выводимого в ходе Winlogon>, <Восстановление настроек проводника>, <Разблокировка диспетчера задач>. После этого необходимо нажать кнопку <Выполнить отмеченные операции> и перезагрузиться
3. После перезагрузки следует зайти в панель управления, открыть <Язык и региональные настройки>, нажать кнопку <Настройка> на закладке <Региональные параметры>, и в окне настройки региональных параметров на закладке <Время> задать желаемый формат времени. В русскоязычной Windows по умолчанию применяется формат <H:mm:ss>

[borka]

В середине ноября - начале декабря появились новые модификации - Trojan.Win32.Krotten.br (по касперу), Trojan.Plastix (по Доктору). Скачены с сайта, рекламирующего генераторы ключей для пополнения счетов мобилок украинских операторов мобильной связи. Размер - под 400 с копейками кил. Также написан на Дельфи, в тексте можно найти текст, выводящийся на экран, адрес их сайта и требование отсылки кода пополнения счета Kyivstar25.
В отличие от предыдущих модификаций прописываются shell'ом в winlogon в виде c:\windows\system32\FindLAN.EXE

[kelevra]

недавно нашёл этого трояна под видом генератора ключей для ReGet Deluxe на многих сайтах с crack-ми будьте внимательны и осторожны!

[My_DeMoN]

Доброго всем времени суток, есть вопросик на эту темку...
Что делать если этот Trojan.Plastix заблокировал открывание флешки, и не только автоматическое, у меня комп ваще ни одной флешки не видит, подскажите че делать?

[SDA]

My_DeMoN - http://virusinfo.info/showthread.php?t=1235

[My_DeMoN]

Большое спасибо, но проблема перестала существовать, ишо до этого, путем не сложных логических умозаключений просто снес драйвер для USB запоминающих устройств и после перезагрузки произошла переустановка драйвера как приложения Plug a Play ))) Но все равно спасибо, а все описанное в вашей ссылке я сделал ишо два дня назад, но все равно спасибо

[tracert]

2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать <Файл/Восстановление системы>

Вчера столкнулся с модификацией. Файл Photo.exe. Плюс к описанным "прелестям" добавляет "запрет запуска программ". Поэтому запуск AVZ невозможен и тем более его режим восстановления недоступен. Правил реестр в ручную, загрузившись с LiveCD. Вот если бы AVZ мог, по примеру ERD, цепляться к произвольной системе!!! Например, при загрузке с LiveCD (или при подсоединении "больного диска" к "здоровой" системе) указываем систему на диске который мы хотим исследовать. И все действия по восстановлению системы делаем автоматически, через привычный интерфейс AVZ, его же стандартными средствами. Или это утопия?

[belan79]

Есть вариант противодействия троянцу рното.ехе загружаем систему в "защищенном режиме с поддержкой командной строки". В консоли набираем команды:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
На каждый запрос удаления отвечаем положительно (вводим Y), после чего выполняем команду explorer.exe для запуска Проводника, в котором уже перестают действовать установленные зловредом ограничения на запуск программ.Запускаем AVZ

[borka]

Есть вариант противодействия троянцу рното.ехе загружаем систему в "защищенном режиме с поддержкой командной строки". В консоли набираем команды:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
На каждый запрос удаления отвечаем положительно (вводим Y), после чего выполняем команду explorer.exe для запуска Проводника, в котором уже перестают действовать установленные зловредом ограничения на запуск программ.Запускаем AVZ

О... Если бы все было так просто...