На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.Krotten.bk


Rootkit:  Нет
Видимые проявления:  Требование заплатить 25 WMZ в ходе загрузки системы
Блокировка диспетчера задач и настроек системы
Многочисленные повреждения настроек системы
Синонимы:  Trojan.StartPage (Symantec)
Trojan.Plastix (DrWeb)
Trj/Sirery.A (Panda)

Троянская программа внушительного размера (встречаются образцы от 190 кб – упакованные UPX и до 450 кб, исследованный образец имел размер 192 кб). Сам троян написан на Delphi и по сущности является инсталлятором. В случае запуска единственное видимое проявление состоит в выводе на экран диалогового окна с текстом:

Перезагрузите компьютер ! И прочитайте, что необходимо предпринять. Email разработчиков программы: xxx

В исследованных образцах адрес разработчиков начинается с «trojan-plastix». Деструктивная деятельность трояна крайне примитивна и сводится к следующим операциям:
1. В текущей папке программы создается файл ImportReg.reg
2. Этот файл копируется в папку TEMP
3. Производится запуск утилиты Regedit для импорта файла ImportReg.reg в реестр (Regedit /s C:\WINDOWS\TEMP\ImportReg.reg)
4. Файл TEMP\ImportReg.reg удаляется и программа завершает свою работу

Файл ImportReg.reg предназначен для
1. внесения множества модификаций в реестр – модификации формата времени, вывода сообщения в ходе автозапуска, блокировки множества функций проводника и создания политик безопасности, ограничивающих возможности по настройке системы. В частности, блокируется диспетчер задач, настройка даты и времени.  
2. Внесение в реестр текста сообщения (с грамматическими и синтаксическими ошибками), выводимого в ходе загрузки. Сообщение имеет вид:
"Для того, чтобы восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail: xxxx код пополнения счета на 25 WMZ. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы."

3. Удаления ключей реестра с ассоциациями для файлов *.reg, *.cmd и *.bat. Эти меры направлены на усложнение автоматического восстановления настроек системным администратором

Удаление и восстановление системы
1. Удалить вредоносную программу. Она не записывается в автозапуск и не маскируется, поэтому сделать ее несложно;
2. Восстановить повреждения в реестре. Для этого необходимо запустить AVZ, вызвать «Файл/Восстановление системы» и отметить пункты: «Восстановление параметров запуска EXE, COM, PIF файлов», «Сброс настроек поиска Internet Explorer на стандартные», «Восстановление стартовой страницы Internet Explorer», «Восстановление настроек рабочего стола», «Удаление всех Policies», «Удаление сообщения, выводимого в ходе Winlogon», «Восстановление настроек проводника», «Разблокировка диспетчера задач». После этого необходимо нажать кнопку «Выполнить отмеченные операции» и перезагрузиться
3. После перезагрузки следует зайти в панель управления, открыть «Язык и региональные настройки», нажать кнопку «Настройка» на закладке «Региональные параметры», и в окне настройки региональных параметров на закладке «Время» задать желаемый формат времени. В русскоязычной Windows по умолчанию применяется формат «H:mm:ss»

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.