Win32.Oneraw

Win32.Oneraw - семейство Троянов которые загружают и устанавливают произвольные программы на системе зараженного пользователя. Они также могут изменять настройки рабочего стола пользователя.

Win32.Oneraw - семейство Троянов которые загружают и устанавливают произвольные программы на системе зараженного пользователя. Они также могут изменять настройки рабочего стола пользователя.

При запуске, некоторые варианты Oneraw вставляют иконку в системный трей и отображают сообщение, что система заражена шпионской программой.

Некоторые варианты также создают копию трояна в "C:\winstall.exe" и устанавливают следующие значения реестра:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows installer = "C:\winstall.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SNInstall = 

Oneraw загружают файлы из определенного сайта в %Application data%\install.dat. Этот файл содержит несколько исполняемых программ, звуковых файлов и файлов данных. Затем троян извлекает все эти файлы и записывает их в "C:\Program Files" каталог. Вариант Oneraw создает папку с именем "SpywareNo" или "SpySheriff". В папке могут содержаться один из следующих файлов:

found.wav
IESecurity.dll
notfound.wav
Procmon.dll
removed.wav
SpywareNo.dvm
SpySheriff.dvm
SpywareNo.exe
SpywareNo_1.dat
SpywareNo_2.dat
Uninstall.exe

Программа также записывает файл "desktop.html" в каталог %Windows% и изменяет следующие ключи реестра, чтобы рабочий стол отображал этот HTML файл. Эти изменения также не позволяют пользователю установить предыдущие настройки рабочего стола.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper = "%Windows%\desktop.html"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoAddingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoDeletingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoEditingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClassicShell = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn = 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperStyle = 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\TileWallpaper = 0
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\ComponentsPositioned = 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime = 
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime = 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime = 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime = 

В качестве маркеров заражения Oneraw создает следующие ключи реестра:

HKCU\Software\Install
HKCU\Software\Reinstall

Другие названия Трояна:

Hoax.Win32.Renos.o (Kaspersky), Downloader-AFH (McAfee), Win32.Oneraw.J, W32/Adclicker.IW (F-Secure), Win32/Spywad.28160!Trojan, Hoax.Win32.Renos.m (Kaspersky), W32/FakeAlert.AM (F-Secure), Win32/SillyDl.24064!Trojan, Win32.Oneraw.G, Win32/Oneraw.E, Win32/Oneraw.C!Trojan, Win32.Oneraw.B, Trojan-Downloader.Win32.Agent.se (Kaspersky), Hoax.Win32.Renos.a (Kaspersky), Win32/Oneraw, Adclicker-BW (McAfee), Win32.Oneraw.A, Win32/Oneraw.A!Trojan, Adware-SpySheriff (McAfee), Trojan.Desktophijack (Symantec), Adware-SpySheriff.dldr (McAfee), Win32/Oneraw!generic, Win32.Oneraw.C, Win32/Oneraw.A, Win32/Oneraw.B, Win32.Oneraw.D, Hoax.Win32.Renos.c (Kaspersky), Hoax.Win32.Renos.d (Kaspersky), TROJ_SHERIFF.A (Trend), Win32.Oneraw.H, Win32/Oneraw.F!Trojan, Win32.Oneraw.F, Troj/Spyhoax-A (Sophos), TROJ_DLOADER.SQ (Trend), Win32/Oneraw.I!Trojan, Troj/Spywad-E (Sophos), Hoax.Win32.Renos.l (Kaspersky), Trojan-Clicker.Win32.Spywad.h (Kaspersky), Win32.Oneraw.I, Hoax.Win32.Renos.n (Kaspersky), TROJ_SPYWAD.I (Trend), Win32.Oneraw.K