Trojan.Win32.StartPage.bh

Троянская программа для Windows. Написана на языке Delphi. Файл программы имеет размер около 20КБ.

Троянская программа для Windows. Написана на языке Delphi. Файл программы имеет размер около 20КБ.

"Троянец" не пытается устанавливать себя в операционную систему или менять название своего файла, поэтому название процесса в памяти соответствует имени исполнительного файла самого "троянца".

Программа прописывает URL http://teen-biz.com/ в следующие ключи системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Search Page]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar]
 [HKCU\Software\Microsoft\Internet Explorer\SearchURL]
 [HKCU\Software\Microsoft\Internet Explorer\SearchURL\provide]
 [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

Кроме того, программа создает в папке Favorites ("Избранное") следующие ссылки:

Quality Galleries 50 000 freepics and movie.url
  http://www.terra.es/personal8/banners1/
 
 WOW VIDEOS AND PICS  -- REALLY HARDCORE VIDEOS.url
  http://www.terra.es/personal8/banners2
 
 Series Hardcore Pic Sets and Movies.url
  http://fujit.drocherway.com/cgi-bin/r.cgi?from=2
 
 Elite Teen Sites - Adult portal The Best TEEN SITES.url
  http://eliteteensites.com/
 
 Elite Mature Sites - Adult portal The Best Mature Sites.url
  http://elitematuresites.com/
 
 FULL COLLECTION DIRTY PORNO.url
  http://teen-biz.com/
 
 Young Teen Fucking Great Lo Archives.url
  http://toteen.com/cgi-bin/tds/in.cgi?outgo

Примерно каждые 1,5 часа троянская программа открывает в браузере следующую страницу:

http://toteen.com/cgi-bin/tds/in.cgi?outgo

Троянская программа для Windows. Написана на языке Delphi. Файл программы имеет размер около 20КБ.

"Троянец" не пытается устанавливать себя в операционную систему или менять название своего файла, поэтому название процесса в памяти соответствует имени исполнительного файла самого "троянца".

Программа прописывает URL http://teen-biz.com/ в следующие ключи системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Search Page]
 [HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar]
 [HKCU\Software\Microsoft\Internet Explorer\SearchURL]
 [HKCU\Software\Microsoft\Internet Explorer\SearchURL\provide]
 [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

Кроме того, программа создает в папке Favorites ("Избранное") следующие ссылки:

Quality Galleries 50 000 freepics and movie.url
  http://www.terra.es/personal8/banners1/
 
 WOW VIDEOS AND PICS  -- REALLY HARDCORE VIDEOS.url
  http://www.terra.es/personal8/banners2
 
 Series Hardcore Pic Sets and Movies.url
  http://fujit.drocherway.com/cgi-bin/r.cgi?from=2
 
 Elite Teen Sites - Adult portal The Best TEEN SITES.url
  http://eliteteensites.com/
 
 Elite Mature Sites - Adult portal The Best Mature Sites.url
  http://elitematuresites.com/
 
 FULL COLLECTION DIRTY PORNO.url
  http://teen-biz.com/
 
 Young Teen Fucking Great Lo Archives.url
  http://toteen.com/cgi-bin/tds/in.cgi?outgo

Примерно каждые 1,5 часа троянская программа открывает в браузере следующую страницу:

http://toteen.com/cgi-bin/tds/in.cgi?outgo
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.