Trojan.Win32. StartPage.dz

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 11776 байт. Упакована UPX. Распакованный размер — около 22 КБ. Написана на Delphi.

Деструктивная активность

После запуска троянец выполняет следующие деструктивные действия:

* изменяет значения следующих ключей системного реестра:

        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Start Page" = http://my-searcher.com/index.htm
  
        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Use Search Asst" = "no"
  
        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Search Page" = "http://my-searcher.com/index.htm"
  
        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Search Bar" = "http://my-searcher.com/sp.htm"
  
        [HKCU\Software\Microsoft\Internet Explorer\SearchURL]
        "Default" = "http://my-searcher.com/index.htm"
  
        [HKCU\Software\Microsoft\Internet Explorer\SearchURL]
        "provider" = "gog1"
  
        [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
        "SearchAssistant" = "http://my-searcher.com/sp.htm"
  
        Это приводит к изменению настроек браузера Internet Explorer.
      * создает ключ системного реестра:
  
        [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
        "olehelp" = "%System%\olehelp.exe"

Это приводит к автоматическому запуску файла «%System%\olehelp.exe» при каждом последующем старте системы — при условии, что данный файл существует.

* создает в папке «Избранное» текущего пользователя Windows ярлыки с именами:

        %USERPROFILE%\Favorites\FREE HIDDEN CAMS WORLD
        %USERPROFILE%\Favorites\FREE SPY CAM
        %USERPROFILE%\Favorites\FREE WEB CAMS CHATS
        %USERPROFILE%\Favorites\GET THIS 4 FREE

Созданные ярлыки указывают на следующие адреса соответственно:

      http://free.hcworld.com/*****searcher.com
      http://free-spy-cam.net/*****searcher.com
      http://web-cams-chat.com/*****searcher.com
      http://getthis4free*****.com/

* удаляет следующий файл:

        c:\link.exe

На этом работа троянца завершается.

Другие названия

Trojan.Win32.StartPage.dz («Лаборатория Касперского») также известен как: Trojan.StartPage (Symantec), Trojan.StartPage.48128 (Doctor Web), Trojan:Win32/StartPage.BN (RAV), TROJ_STARTPAG.BN (Trend Micro), TR/StartPage.BN (H+BEDV), Startpage.3.AR (Grisoft), Trojan.StartPage.BN (SOFTWIN), Trojan Horse (Panda), Win32/StartPage.DZ (Eset)