Win32.Oneraw - семейство Троянов которые загружают и устанавливают произвольные программы на системе зараженного пользователя. Они также могут изменять настройки рабочего стола пользователя.
При запуске, некоторые варианты Oneraw вставляют иконку в системный трей и отображают сообщение, что система заражена шпионской программой.
Некоторые варианты также создают копию трояна в "C:\winstall.exe" и устанавливают следующие значения реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows installer = "C:\winstall.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SNInstall =
Oneraw загружают файлы из определенного сайта в %Application data%\install.dat. Этот файл содержит несколько исполняемых программ, звуковых файлов и файлов данных. Затем троян извлекает все эти файлы и записывает их в "C:\Program Files" каталог. Вариант Oneraw создает папку с именем "SpywareNo" или "SpySheriff". В папке могут содержаться один из следующих файлов:
found.wav IESecurity.dll notfound.wav Procmon.dll removed.wav SpywareNo.dvm SpySheriff.dvm SpywareNo.exe SpywareNo_1.dat SpywareNo_2.dat Uninstall.exe
Программа также записывает файл "desktop.html" в каталог %Windows% и изменяет следующие ключи реестра, чтобы рабочий стол отображал этот HTML файл. Эти изменения также не позволяют пользователю установить предыдущие настройки рабочего стола.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper = "%Windows%\desktop.html" HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoComponents = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoAddingComponents = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoDeletingComponents = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoEditingComponents = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClassicShell = 0 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn = 1 HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperStyle = 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\TileWallpaper = 0 HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\ComponentsPositioned = 2 HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime =HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime = HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime = HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime =
В качестве маркеров заражения Oneraw создает следующие ключи реестра:
HKCU\Software\Install HKCU\Software\Reinstall
Другие названия Трояна:
Hoax.Win32.Renos.o (Kaspersky), Downloader-AFH (McAfee), Win32.Oneraw.J, W32/Adclicker.IW (F-Secure), Win32/Spywad.28160!Trojan, Hoax.Win32.Renos.m (Kaspersky), W32/FakeAlert.AM (F-Secure), Win32/SillyDl.24064!Trojan, Win32.Oneraw.G, Win32/Oneraw.E, Win32/Oneraw.C!Trojan, Win32.Oneraw.B, Trojan-Downloader.Win32.Agent.se (Kaspersky), Hoax.Win32.Renos.a (Kaspersky), Win32/Oneraw, Adclicker-BW (McAfee), Win32.Oneraw.A, Win32/Oneraw.A!Trojan, Adware-SpySheriff (McAfee), Trojan.Desktophijack (Symantec), Adware-SpySheriff.dldr (McAfee), Win32/Oneraw!generic, Win32.Oneraw.C, Win32/Oneraw.A, Win32/Oneraw.B, Win32.Oneraw.D, Hoax.Win32.Renos.c (Kaspersky), Hoax.Win32.Renos.d (Kaspersky), TROJ_SHERIFF.A (Trend), Win32.Oneraw.H, Win32/Oneraw.F!Trojan, Win32.Oneraw.F, Troj/Spyhoax-A (Sophos), TROJ_DLOADER.SQ (Trend), Win32/Oneraw.I!Trojan, Troj/Spywad-E (Sophos), Hoax.Win32.Renos.l (Kaspersky), Trojan-Clicker.Win32.Spywad.h (Kaspersky), Win32.Oneraw.I, Hoax.Win32.Renos.n (Kaspersky), TROJ_SPYWAD.I (Trend), Win32.Oneraw.K