На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов

Trojan.Win32.Krotten.dr


Rootkit:  Нет
Видимые проявления:  Посторонее сообщение в ходе перезагрузки с требованием 25 гривен
Заблокирован проводник и рабочий стол
Заблокировано большинство элементов меню "Пуск"

Исполняемый файл имееет размер 137 кб, иконка по виду напоминает иконку инсталляционного пакета. Исполняемый файл защищен протектором, детектирующим наличие в системе отладчиков. В случае запуска выводит сообщение на русском языке с монжеством грамматических ошибок о том, что следует перезагрузить ПК для того, чтобы узнать, как спасти информацию. До этого троян скрытно вносит в систему ряд изменений:
1. Создает политики, блокирующие меню "Пуск", рабочий стол и отображение дисков
2. Модифицирует настройки Internet Explorer, отключая большинство его функций его функций
3. Отключает через политики диспетчер задач и редактор реестра
4. Меняет заголовок проводника и его стартовую страницу
5. Меняет формат времени в региональных настройках
6. Устанавливает сообщение, выводимое в ходе перезагрузки компьютера - в сообщении указано, что следует выслать автору код карты оплаты KievStar номиналом 25 гривен для получения "противоядия" для восстановления "всей" информации
6. Устраивает ряд мелких, но достадный безобразий с настройками в реестре (смещает обои, устанавливает длительную задержку отображения меню, блокирует закрытие окон, создает на диске пустые папки "Windows 91" и "Windows 98", устанавливает атрибуты "скрытый", "только чтение" и "системный" на папки WINDOWS и "Program Files" и т.п.).
7. Уничтожает ассоциацию для файлов типа REG, тем самым блокируя импорт REG файлов
Зловред отличается от предыдущих разновидностей тем, что создает на диске свои копии (исследованный образец создал копии под именами WINDOWS\pchealth\UploadLB\Config\AvpM.exe и WINDOWS\msagent\intl\ALG.exe), и прописывает их в автозапуск. Таким образом откат повреждений системы без уничтожения самого зловреда бесполезен.

Для восстановления работоспособности системы следует:
1. Найти и уничтожить файлы зловреда на диске
2. Запустить AVZ (это возможно через Пуск\Все программы\Стандартные - командная строка или по комбинации Win+E запустить проводник) и выполнить скрипт (пуск - выполнить скрипт):
var
 i : integer;
begin
 for i := 1 to 8 do
  ExecuteRepair(i);
 ExecuteRepair(11);
 ExecuteRepair(16);
 ExecuteRepair(17);
 RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
 DeleteDirectory('%SysDisk%\Windows 91');        
 DeleteDirectory('%SysDisk%\Windows 98');
 ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Windows"', 0, 3000, true);
 ExecuteFile('attrib', '-R -H -S "'+NormalDir('%SysDisk%')+'Program Files"', 0, 3000, true);
 RebootWindows(true);
end.

 





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.