• Win32/StartPage.OOT

  • 0
Автор
КатегорияТроян
Дата обнаружения09.11.2012
Размер141824
Другие названия
RDN/PWS-Banker.dldr!g (McAfee)
Trojan:Win32/Comisproc (Microsoft)
Downloader.Rozena (AVG)

Краткое описание

Win32/StartPage.Лапка-это троян, который меняет домашней страницы некоторых веб-браузеров. Троян пытается загрузить и выполнить несколько файлов из Интернета.

Как устанавливается

Троян не создает своих копий.

Троян изменяет домашнюю страницу для следующих веб-браузеров:

  • Microsoft Internet Explorer

Следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­Main]
    • "Start Page" = "http://www.9365.info"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Classes\­CLSID\­{871C5380-42A0-1069-A2EA-08002B30309D}\­shell\­OpenHomePage\­Command]
    • "(Default)" = "%systemdrive%\­Program Files\­Internet Explorer\­iexplore.exe http://www.9365.info"
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Classes\­CLSID\­{871C5380-42A0-1069-A2EA-08002B30309D}\­shell\­OpenHomePage\­Command]
    • "(Default)" = "%systemdrive%\­Program Files\­Internet Explorer\­iexplore.exe http://www.9365.info"
  • "Start Page" = "http://www.9365.info"
  • "(Default)" = "%systemdrive%\­Program Files\­Internet Explorer\­iexplore.exe http://www.9365.info"
  • "(Default)" = "%systemdrive%\­Program Files\­Internet Explorer\­iexplore.exe http://www.9365.info"

Троян может устанавливать следующие значения реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­SearchScopes]
    • "DefaultScope" = "baidu"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­SearchScopes\­baidu]
    • "URL" = "http://www.baidu.com/baidu?tn=flstudios_cb&word={searchTerms}&cl=3&ie=utf-8"
    • "DisplayName" = "|+|+---"
  • "DefaultScope" = "baidu"
  • "URL" = "http://www.baidu.com/baidu?tn=flstudios_cb&word={searchTerms}&cl=3&ie=utf-8"
  • "DisplayName" = "|+|+---"

Дополнительная информация

Троян содержит список URL-адресов, с которых он пытается загрузить файл с адресами.

Файл хранится в следующей папке:

  • %currentfolder%\­hzsoft\­%variable%.exe
  • %currentfolder%\­%variable%.exe

Затем файлы запускаются. Используется HTTP протокол.

Вместо %variable% используется строка с разным содержанием

Троян может удалить файлы из следующих папок:

  • %currentfolder%

Затем троян удаляет себя с компьютера.

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *