17.06.2006
Trojan.Win32.StartPage.aju
Данная троянская программа обычно имеет имя keyboard25.exe и размер 32 кб, размещается в корне диска (обычно она загружается другой троянской программой - Trojan-Downloader.Win32.Adload. После запуска выполняет следующие операции:
1. пытается удалить параметр winsysupd ключа SOFTWARE\Microsoft\Internet Explorer\Security\P3Sites
2. регистрируется в автозапуске (ключ Software\Microsoft\Windows\CurrentVersion\Run, параметр с именем keyboard)
3. производит скрытную загрузку файла с сайта www.nonameforthisdomain.com, сохраняя его под именем c:\windows\teller2.chk. Это текстовый файл, содержащий единственую строку "PLEASE DO NOT DELETE / SYSTEM FILE" - его загрузка по всей видимости применяется для проверки связи. Следующим шагом является загрузка файла c:\windows\keyboard1.dat с того-же сайта (этот файл после загрузки имел нулевой размер).
4. подменяет стартовую страницу браузера на http://www.findthewebsiteyouneed.com, а страницу поиска - на http://searchbar.findthewebsiteyouneed.com. единственные видимые для пользователя следы деятельности программы
5.Скрытно загружает файл defender26.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Clicker.Win32.VB.ly )
6.Скрытно загружает файл newname25.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Downloader.Win32.VB.abm)
7.Скрытно загружает файл drsmartload849a.exe с сайта content.dollarrevenue.com, сохраняет его в корне диска и запускает его после завершения загрузки (это Trojan-Downloader.Win32.Adload.bo)