Trojan.Win32. StartPage.au

Троянская программа, изменяющая без ведома пользователя настройки веб-браузера Microsoft Internet Explorer.

Троянская программа, изменяющая без ведома пользователя настройки веб-браузера Microsoft Internet Explorer. Является библиотекой Windows (PE DLL-файл). Имеет размер 5120 байт. Упакована с помощью UPX, распакованный размер — около 7 КБ.

Инсталляция

Данная библиотека инсталлируется в систему при помощи других троянских программ.

При запуске троянец создает следующий файл:

 %WinDir%\hh.htt
 

Для автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Control" = "rundll32.exe C:\WINDOWS\system32\ctrlpan.dll,Restore ControlPanel"
 
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "AppInit_DLLs" = "ctrlpan.dll"

Деструктивная активность

Троянец изменяет значения следующих ключей реестра:

 [HKLM\Software\Microsoft\Internet Explorer\Styles]
 "Use My Stylesheet" = "1"
 "User Stylesheet" = "%WinDir%\hh.htt"
 
 [HKCU\Software\Microsoft\Internet Explorer\Main]
 "Start Page" = "http://aifind.info/"
 "Search Page" = "http://aifind.info/"
 "Search Bar" = "http://aifind.info/"
 
 [HKCU\Software\Microsoft\Internet Explorer]
 "SearchURL" = http://aifind.info/
 

В папке «Избранное» текущего пользователя троянская программа создает файлы:

 !!! Exclusive Youngest Porn !!!.url
 80 old daddies brutally fucking their daughters.url
 CENSORED YOUNGEST PORN.url
 Fresh XXX pics & movie.url
 Fucking Young Virginz !!!.url
 Innocent Girls Brutally Fucked.url
 Little Bitches Getting Fucked.url
 MSN.com.url
 Virgin Girls in Action.url
 XX y.o. girls getting brutally fucked by huge dick.url
 Young Masha sucking huge dick until her lips teared open.url
 Youngest Girls Only.url
 Youngest Hardcore Action.url
 

Также троянец добавляет следующую строку в файл «%System%\drivers\etc\hosts»:

 205.177.124.66 auto.search.msn.com

Другие названия

Trojan.Win32.StartPage.au («Лаборатория Касперского») также известен как: StartPage-CH (McAfee), Trojan.StartPage (Symantec), Trojan.StartPage (Doctor Web), Trojan:Win32/StartPage.AU (RAV), TROJ_STARTPAGE.O (Trend Micro), TR/StartPage.AU (H+BEDV), Win32:Trojan-gen. (ALWIL), Startpage.3.BI (Grisoft), Trojan.Dropper.Rute (SOFTWIN), Trojan.Startpage-162 (ClamAV), Trojan Horse (Panda), Win32/StartPage.NAZ (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.