Trojan.Win32.StartPage.ahf

Троянская программа, изменяющая без ведома пользователя стартовую страницу в настройках web-браузера Microsoft Internet Explorer.

Программа является приложением Windows (PE EXE-файл). Упакована NsPack. Размер файла 7241 байт. Написана на языке C++.

Деструктивная активность

После запуска троянская программа создает следующую запись в системном реестре:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "PayTime"="%System%\paytime.exe"

Однако данный троянец не создает в системном каталоге Windows файл с именем paytime.exe, поэтому автоматического запуска троянца при старте операционной системы производиться не будет. Однако файл paytime.exe может быть создан другими троянскими программами.

Троянец пытается скрыть свой процесс в системе с помощью функции Windows98 — RegisterServiceProcess.

Далее троянец циклически с интервалом в 5 секунд делает следующие действия: копирует файл %System%\secure32.html (если такой существует) в C:\secure32.html, после чего перезаписывает параметры следующих ключей реестра:

  [HKCU\Software\Microsoft\Internet Explorer\Main]
  [HKLM\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL" = "c:\secure32.html"
   "Local Page" = "c:\secure32.html"
   "Start Page" = "c:\secure32.html"
  

Файл %System%\secure32.html может быть предварительно загружен другой троянской программой.