Trojan.Win32.Krotten.n
Троянская программа. Является приложением Windows (PE EXE-файл).
Данный троянец распространялся под видом файла-обманки — генератора кодов для пополнения счета мобильных телефонов.
В итоге попытка пользователя нелегально пополнить свой лицевой счет, запустив данный файл, оборачивается для пользователя невозможностью использовать в полном объеме ресурсы операционной системы и необходимостью пополнить баланс злоумышленника, который предлагает за вознограждение восстановить работоспособность системы.
Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными неизвестными файлами.
Кроме того, ни в коем случае нельзя переводить деньги злоумышленнику, так как это станет для него стимулом для создания новых версий троянской программы.
Инсталляция
После запуска троянец регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "svchost"="<путь до троянской программы>" "winlogon.exe"="<путь до троянской программы>"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Действие
Троянец изменяет различные ключи системного реестра с целью ограничения действий пользователя. Например, блокирует запуск самого системного реестра (RegEdit), запуск Диспетчера Задач (Task Manager), блокирует закрытие окон проводника, окон Internet Explorer, блокирует доступ к настройкам файлов и папок, изменяет содержание меню «Пуск» («Start»), блокирует запуск командной строки и другие действия.
Пример измененных ключей системного реестра:
[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\RPLifeInterval] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\NoViewContextMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommonGroups] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFavoritesMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoManageMyComputerVerb] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetHood] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinters] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinterTabs] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyDocs] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyPictures] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMFUprogramsList] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMyMusic] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuPinnedList] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuSubFolders] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoThemesTab] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall\NoAddRemovePrograms]
Троянец изменяет различные настройки Internet Explorer — заголовок окна, стартовую страницу:
[HKLM\Software\Microsoft\Internet Explorer\Main\Start Page] [HKLM\Software\Microsoft\Internet Explorer\Main\Window title]
В системном трее вместо часов показывающих системное время троянец помещает нецензурные выражения:
[HKCU\Control Panel\International\sTimeFormat]
Троянец изменяет атрибуты для папок «Windows» и «Program Files». Одновременно с этим создается папка «Типа Windows». Также в корне диска C: троянец создает несколько пустых папок.
Однако самой главной целью авторов данного троянца является вымогание денежных средств с пользователей зараженных компьютеров. Троянец предлагает «жертвам» восстановить нормальную работу компьютера за небольшую сумму, перечисленную на счет авторов троянца.
Троянец добавляет следующие ключи реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText] [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption] [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText]
Во время загрузки компьютера троянец выдает следующее сообщение:
Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail @rambler.ru код пополнения счета киевстар на 25 гривень. В ответ в течение двенадцати часов на свой e-mail ты получишь файл для удаления этой программы.