На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.StartPage.aju


Rootkit:  Нет
Видимые проявления:  Подмена стартовой страницы на http://www.findthewebsiteyouneed.com
Подмена страницы поиска на http://searchbar.findthewebsiteyouneed.com
Появление в корне диска постороннего файла defender26.exe и ряда других исполняемых файлов в корне диска

Данная троянская программа обычно имеет имя keyboard25.exe и размер 32 кб, размещается в корне диска (обычно она загружается другой троянской программой - Trojan-Downloader.Win32.Adload. После запуска выполняет следующие операции:
1. пытается удалить параметр winsysupd ключа SOFTWARE\Microsoft\Internet Explorer\Security\P3Sites
2. регистрируется в автозапуске (ключ Software\Microsoft\Windows\CurrentVersion\Run, параметр с именем keyboard)
3. производит скрытную загрузку файла с сайта www.nonameforthisdomain.com, сохраняя его под именем c:\windows\teller2.chk. Это текстовый файл, содержащий единственую строку "PLEASE DO NOT DELETE / SYSTEM FILE" - его загрузка по всей видимости применяется для проверки связи. Следующим шагом является загрузка файла c:\windows\keyboard1.dat с того-же сайта (этот файл после загрузки имел нулевой размер).
4. подменяет стартовую страницу браузера на http://www.findthewebsiteyouneed.com, а страницу поиска - на http://searchbar.findthewebsiteyouneed.com. единственные видимые для пользователя следы деятельности программы
5.Скрытно загружает файл defender26.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Clicker.Win32.VB.ly )
6.Скрытно загружает файл newname25.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Downloader.Win32.VB.abm)
7.Скрытно загружает файл drsmartload849a.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Downloader.Win32.Adload.bo)

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.