На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.StartPage.agb


Rootkit:  Нет
Видимые проявления:  Появление в корне диска постороннего файла secure32.htm
Подмена стартовой страницы на локальный файл secure32.htm

Исполняемый файл известен под именем paytime.exe, размер 4 кб, сжат FSG. Иконка похожа на иконку документа MSWord.
Скрытно выполняет следующие операции:
1. Копирует свой исполняемый файл в WINDOWS\system32\paytime.exe
2. Регистрирует WINDOWS\system32\paytime.exe в автозапуске (одновременно в двух ключах)
3. Копирует файл WINDOWS\secure32.html в корень диска
4. Модифицирует стартовую страницу на secure32.html в корне диска
Операции 3-4 повторяются периодически с интервалом несколько секунд, что делает бесполезным удаление файла secure32.html и восстановление настроек браузера при активном процессе

Лечение
1. Файл детектируется AVZ и может быть уделен в автоматическом режие
2. После удаления необходимо воспользоваться восстановлением системы AVZ для восстановления настроек браузера

Детектирование вручную
Детектировать наличие данной троянской программы несложно по описанным симптомам и по появлению в корне диска файла secure32.html. Обнаружить троянский процесс можно утилитами FileMon и RegMon.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.