Троянская программа, выполняющая деструктивные действия на компьютере пользователя.
Деструктивная активность
После запуска троянец выполняет следующие деструктивные действия:
* изменяет значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = http://my-searcher.com/index.htm [HKCU\Software\Microsoft\Internet Explorer\Main] "Use Search Asst" = "no" [HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page" = "http://my-searcher.com/index.htm" [HKCU\Software\Microsoft\Internet Explorer\Main] "Search Bar" = "http://my-searcher.com/sp.htm" [HKCU\Software\Microsoft\Internet Explorer\SearchURL] "Default" = "http://my-searcher.com/index.htm" [HKCU\Software\Microsoft\Internet Explorer\SearchURL] "provider" = "gog1" [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant" = "http://my-searcher.com/sp.htm" Это приводит к изменению настроек браузера Internet Explorer. * создает ключ системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "olehelp" = "%System%\olehelp.exe"
Это приводит к автоматическому запуску файла «%System%\olehelp.exe» при каждом последующем старте системы — при условии, что данный файл существует.
* создает в папке «Избранное» текущего пользователя Windows ярлыки с именами:
%USERPROFILE%\Favorites\FREE HIDDEN CAMS WORLD %USERPROFILE%\Favorites\FREE SPY CAM %USERPROFILE%\Favorites\FREE WEB CAMS CHATS %USERPROFILE%\Favorites\GET THIS 4 FREE
Созданные ярлыки указывают на следующие адреса соответственно:
http://free.hcworld.com/*****searcher.com
http://free-spy-cam.net/*****searcher.com
http://web-cams-chat.com/*****searcher.com
http://getthis4free*****.com/
* удаляет следующий файл:
c:\link.exe
На этом работа троянца завершается.
Другие названия
Trojan.Win32.StartPage.dz («Лаборатория Касперского») также известен как: Trojan.StartPage (Symantec), Trojan.StartPage.48128 (Doctor Web), Trojan:Win32/StartPage.BN (RAV), TROJ_STARTPAG.BN (Trend Micro), TR/StartPage.BN (H+BEDV), Startpage.3.AR (Grisoft), Trojan.StartPage.BN (SOFTWIN), Trojan Horse (Panda), Win32/StartPage.DZ (Eset)