Класс
Trojan
Платформа
JS

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan

Вредоносная программа, занимающаяся уничтожением, блокированием, модификацией или копированием информации, нарушением работы компьютеров или компьютерных сетей, и при этом не попавшая ни в один из классов троянских программ.

Подробнее

Платформа: JS

JavaScript – прототипно-ориентированный сценарный язык программирования. Обычно используется как встраиваемый язык для программного доступа к объектам приложений. Наиболее часто применяется в браузерах как язык сценариев для придания интерактивности веб-страницам.

Описание

Technical Details

Троянская программа, изменяющая стартовую страницу браузера Internet Explorer и добавляющая в «Избранное» новые ссылки без ведома пользователя.

Написана на языке JavaScript. Находится внутри гипертекстовых документов на веб-сайтах или в письмах электронной почты. Срабатывает только в случае включенной в браузере поддержки JavaScript.

Payload

Троянец изменяет значения следующих ключей системного реестра ОС Windows:

[HKCUSoftwareMicrosoftInternet ExplorerMain]
[HKLMSoftwareMicrosoftInternet ExplorerMain]
 "Start Page"="<новая_стартовая_страница>"

Примеры новых значений:

http://joblist.***.ru/redir.html
http://zavarka.***/gift.htm
http://sety.***.ru/post.html
http://ok***.ok999.net

Также троянец создает различные ярлыки с URL ссылками в следующих каталогах:

%Documents and Settings%All UsersFavorites
%Documents and Settings%All UsersИзбранное
%Documents and Settings%All UsersStart Menu
%Documents and Settings%All UsersГлавное меню
%Documents and Settings%All UsersDesktop
%Documents and Settings%All UsersРабочий стол

%Documents and Settings%<Имя_текущего_пользователя>Favorites
%Documents and Settings%<Имя_текущего_пользователя>Избранное
%Documents and Settings%<Имя_текущего_пользователя>Start Menu
%Documents and Settings%<Имя_текущего_пользователя>Главное меню
%Documents and Settings%<Имя_текущего_пользователя>Desktop
%Documents and Settings%<Имя_текущего_пользователя>Рабочий стол

%WinDir%ProfilesAll UsersFavorites
%WinDir%ProfilesAll UsersИзбранное
%WinDir%ProfilesAll UsersStart Menu
%WinDir%ProfilesAll UsersГлавное меню
%WinDir%ProfilesAll UsersDesktop
%WinDir%ProfilesAll UsersРабочий стол

Примеры создаваемых файлов :

СуперНавигатор.URL (http://joblist.***.ru/redir.htm)
-=Абсолютно лучшая ХАЛЯВА=-.URL (http://zavarka.***/gift.htm)
Знакомства-Развлечения-Чат.URL (http://www.zavarka.***)
- Все для досуга -.URL (http://sety.***.ru/post.html)

Также троянец может изменять значения следующих ключей системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
 "NoRun"=BINARY:01
 "NoClose"=BINARY:01
 "NoLogOff"=BINARY:01
 "NoDrives"=DWORD:67108863
 "NoDesktop"=DWORD:00000001
 "NoSaveSettings"=BINARY:00
 "NoViewContextMenu"=BINARY:01
 "NoTrayContextMenu"=BINARY:01
 "RestrictRun"=DWORD:00000001
 "NoSetFolders"=DWORD:01000000
 "NoFind"=DWORD:00000001
 "NoFavoritesMenu"=DWORD:00000001
 "NoRecentDocsMenu"=DWORD:00000001
 "NoSetTaskbar"=DWORD:00000001

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
 "DisableRegistryTools"=DWORD:00000001
 "NoDevMgrPage"=DWORD:00000001

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp]
 "Disabled"=DWORD:00000001
 "NoRealMode"=DWORD:00000001

[HKLMEnumPCI]
 "ChannelOptions"=BINARY:02

[HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
 "NoBrowserClose"=DWORD:01

[HKCUControl PanelInternational]
 "stimeformat"="HH:mm:ss tt"

Изменение вышеприведенных ключей реестра может повлиять на стабильность работы ОС Windows.

Removal instructions

  1. Отключить JavaScript в настройках браузера.
  2. Удалить созданные вирусом нежелательные файлы в следующих каталогах:

    %Documents and Settings%All UsersFavorites
    %Documents and Settings%All UsersИзбранное
    %Documents and Settings%All UsersStart Menu
    %Documents and Settings%All UsersГлавное меню
    %Documents and Settings%All UsersDesktop
    %Documents and Settings%All UsersРабочий стол

    %Documents and Settings%<Имя_текущего_пользователя>Favorites
    %Documents and Settings%<Имя_текущего_пользователя>Избранное
    %Documents and Settings%<Имя_текущего_пользователя>Start Menu
    %Documents and Settings%<Имя_текущего_пользователя>Главное меню
    %Documents and Settings%<Имя_текущего_пользователя>Desktop
    %Documents and Settings%<Имя_текущего_пользователя>Рабочий стол

    %WinDir%ProfilesAll UsersFavorites
    %WinDir%ProfilesAll UsersИзбранное
    %WinDir%ProfilesAll UsersStart Menu
    %WinDir%ProfilesAll UsersГлавное меню
    %WinDir%ProfilesAll UsersDesktop
    %WinDir%ProfilesAll UsersРабочий стол

  3. Восстановить значения измененных ключей реестра.
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.