Trojan.Win32.Agent.il

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер около 54 КБ.

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер около 54 КБ.

Эксперты «Лаборатории Касперского» предупреждают, что данный троянец распространялся под видом файла-обманки, предоставляющего якобы бесплатный доступ к различным платным интернет-ресурсам. В случае запуска данного файла пользователь не может использовать ресурсы операционной системы в полном объеме.

Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными файлами.

Инсталляция

После запуска троянец регистрирует себя в ключах автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Explorer"="<путь до троянской программы>"
  "RUNDLL32.EXE AudioHQ"="<путь до троянской программы>"

При каждой следующей загрузке Windows автоматически запустит файл трояна.

Действие

Троянец изменяет различные ключи системного реестра с целью ограничения действий пользователя. Например:

     * блокирует запуск самого системного реестра (RegEdit), запуск Диспетчера Задач (Task Manager);
     * блокирует закрытие окон проводника, окон Internet Explorer;
     * блокирует доступ к настройкам файлов и папок;
     * изменяет содержание меню «Пуск» («Start»);
     * блокирует запуск командной строки и другие действия.

Пример измененных ключей системного реестра:

 [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose]
 [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu]
 [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions]
 [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons]
 [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir]
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR]
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\RPLifeInterval]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommonGroups]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFavoritesMenu]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetHood]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinters]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinterTabs]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyDocs]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyPictures]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMFUprogramsList]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMyMusic]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuPinnedList]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuSubFolders]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoThemesTab]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL]
 

Троянец изменяет различные настройки Internet Explorer: заголовок окна, стартовую страницу:

 [HKLM\Software\Microsoft\Internet Explorer\Main\Window title]
 [HKLM\Software\Microsoft\Internet Explorer\Main\Start Page]

В системном трее вместо часов, показывающих системное время, троянец помещает нецензурные выражения:

 [HKCU\Control Panel\International\sTimeFormat]
Троянец изменяет атрибуты для папок Windows и «Program Files». Одновременно с этим создаются папки «Типа Windows», «Типа Windows2» и «Типо Мои Документы».

Но самой главной целью авторов данного троянца является вымогание денежных средств с пользователей зараженных компьютеров. Троянец предлагает «жертвам» восстановить нормальную работу компьютера за небольшую сумму перечисленную на счет авторов троянца.

Троянец добавляет следующие ключи реестра:

 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption]
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption]
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText]
 

Во время загрузки компьютера троянец выдает следующее сообщение:

 Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! 
 И с экономив деньги, пришли мне на e-mail  word@wala.com код пополнения счета 
 киевстар на 25 гривень. В ответ на свой e-mail ты получишь файл для удаления этой программы. 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.