03.08.2006
Trojan.Win32.StartPage.aib
Размер 40 кб, исполняемый файл известен под именем winsysupd12.exe. Написан на Basic, не сжат и не зашифрован.
Скрытно выполняет следующие операции:
1. Удаляет ряд элементов автозапуска (в частности, с именами easywww, msresearch, timessquare
2. Регистрирует себя в автозапуске (ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, параметр winsysupd)
3. Производит скрытный обмен с nonameforthisdomain.com
4. Загружает с dollarrevenue.com файл kybrdff_7.exe и запускает его
5. Загружает с dollarrevenue.com файл dfndrff_7.exe и запускает его
6. Модифицирует стартовую страницу браузера и параметры поиска на findthewebsiteyouneed.com
Загруженные файлы в свою очередь являются вредоносными программами.
Лечение
1. В первую очередь необходимо удалить вредоносную программу и загруженные ей программы
2. Необходимо восстановить поврежденные настройки IE при помощи восстановления системы AVZ