Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan
Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.Подробнее
Платформа: JS
JavaScript – прототипно-ориентированный сценарный язык программирования. Обычно используется как встраиваемый язык для программного доступа к объектам приложений. Наиболее часто применяется в браузерах как язык сценариев для придания интерактивности веб-страницам.Описание
Technical Details
Троянская программа, изменяющая стартовую страницу браузера Internet Explorer и добавляющая в «Избранное» новые ссылки без ведома пользователя.
Написана на языке JavaScript. Находится внутри гипертекстовых документов на веб-сайтах или в письмах электронной почты. Срабатывает только в случае включенной в браузере поддержки JavaScript.
Payload
Троянец изменяет значения следующих ключей системного реестра ОС Windows:
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Start Page"="<новая_стартовая_страница>"
Примеры новых значений:
http://zavarka.***/gift.htm
http://sety.***.ru/post.html
http://ok***.ok999.net
Также троянец создает различные ярлыки с URL ссылками в следующих каталогах:
%Documents and Settings%All UsersFavorites
%Documents and Settings%All UsersИзбранное
%Documents and Settings%All UsersStart Menu
%Documents and Settings%All UsersГлавное меню
%Documents and Settings%All UsersDesktop
%Documents and Settings%All UsersРабочий стол
%Documents and Settings%<Имя_текущего_пользователя>Favorites
%Documents and Settings%<Имя_текущего_пользователя>Избранное
%Documents and Settings%<Имя_текущего_пользователя>Start Menu
%Documents and Settings%<Имя_текущего_пользователя>Главное меню
%Documents and Settings%<Имя_текущего_пользователя>Desktop
%Documents and Settings%<Имя_текущего_пользователя>Рабочий стол
%WinDir%ProfilesAll UsersFavorites
%WinDir%ProfilesAll UsersИзбранное
%WinDir%ProfilesAll UsersStart Menu
%WinDir%ProfilesAll UsersГлавное меню
%WinDir%ProfilesAll UsersDesktop
%WinDir%ProfilesAll UsersРабочий стол
Примеры создаваемых файлов :
-=Абсолютно лучшая ХАЛЯВА=-.URL (http://zavarka.***/gift.htm)
Знакомства-Развлечения-Чат.URL (http://www.zavarka.***)
- Все для досуга -.URL (http://sety.***.ru/post.html)
Также троянец может изменять значения следующих ключей системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoRun"=BINARY:01
"NoClose"=BINARY:01
"NoLogOff"=BINARY:01
"NoDrives"=DWORD:67108863
"NoDesktop"=DWORD:00000001
"NoSaveSettings"=BINARY:00
"NoViewContextMenu"=BINARY:01
"NoTrayContextMenu"=BINARY:01
"RestrictRun"=DWORD:00000001
"NoSetFolders"=DWORD:01000000
"NoFind"=DWORD:00000001
"NoFavoritesMenu"=DWORD:00000001
"NoRecentDocsMenu"=DWORD:00000001
"NoSetTaskbar"=DWORD:00000001
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=DWORD:00000001
"NoDevMgrPage"=DWORD:00000001
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp]
"Disabled"=DWORD:00000001
"NoRealMode"=DWORD:00000001
[HKLMEnumPCI]
"ChannelOptions"=BINARY:02
[HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoBrowserClose"=DWORD:01
[HKCUControl PanelInternational]
"stimeformat"="HH:mm:ss tt"
Изменение вышеприведенных ключей реестра может повлиять на стабильность работы ОС Windows.
Removal instructions
- Отключить JavaScript в настройках браузера.
- Удалить созданные вирусом нежелательные файлы в следующих каталогах:
%Documents and Settings%All UsersFavorites
%Documents and Settings%All UsersИзбранное
%Documents and Settings%All UsersStart Menu
%Documents and Settings%All UsersГлавное меню
%Documents and Settings%All UsersDesktop
%Documents and Settings%All UsersРабочий стол%Documents and Settings%<Имя_текущего_пользователя>Favorites
%Documents and Settings%<Имя_текущего_пользователя>Избранное
%Documents and Settings%<Имя_текущего_пользователя>Start Menu
%Documents and Settings%<Имя_текущего_пользователя>Главное меню
%Documents and Settings%<Имя_текущего_пользователя>Desktop
%Documents and Settings%<Имя_текущего_пользователя>Рабочий стол%WinDir%ProfilesAll UsersFavorites
%WinDir%ProfilesAll UsersИзбранное
%WinDir%ProfilesAll UsersStart Menu
%WinDir%ProfilesAll UsersГлавное меню
%WinDir%ProfilesAll UsersDesktop
%WinDir%ProfilesAll UsersРабочий стол - Восстановить значения измененных ключей реестра.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com