Троянская программа, изменяющая без ведома пользователя настройки веб-браузера Microsoft Internet Explorer.
Инсталляция
Данная библиотека инсталлируется в систему при помощи других троянских программ.
При запуске троянец создает следующий файл:
%WinDir%\hh.htt
Для автоматического запуска при каждом последующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Control" = "rundll32.exe C:\WINDOWS\system32\ctrlpan.dll,Restore ControlPanel" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs" = "ctrlpan.dll"
Деструктивная активность
Троянец изменяет значения следующих ключей реестра:
[HKLM\Software\Microsoft\Internet Explorer\Styles] "Use My Stylesheet" = "1" "User Stylesheet" = "%WinDir%\hh.htt" [HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page" = "http://aifind.info/" "Search Page" = "http://aifind.info/" "Search Bar" = "http://aifind.info/" [HKCU\Software\Microsoft\Internet Explorer] "SearchURL" = http://aifind.info/
В папке «Избранное» текущего пользователя троянская программа создает файлы:
!!! Exclusive Youngest Porn !!!.url 80 old daddies brutally fucking their daughters.url CENSORED YOUNGEST PORN.url Fresh XXX pics & movie.url Fucking Young Virginz !!!.url Innocent Girls Brutally Fucked.url Little Bitches Getting Fucked.url MSN.com.url Virgin Girls in Action.url XX y.o. girls getting brutally fucked by huge dick.url Young Masha sucking huge dick until her lips teared open.url Youngest Girls Only.url Youngest Hardcore Action.url
Также троянец добавляет следующую строку в файл «%System%\drivers\etc\hosts»:
205.177.124.66 auto.search.msn.com
Другие названия
Trojan.Win32.StartPage.au («Лаборатория Касперского») также известен как: StartPage-CH (McAfee), Trojan.StartPage (Symantec), Trojan.StartPage (Doctor Web), Trojan:Win32/StartPage.AU (RAV), TROJ_STARTPAGE.O (Trend Micro), TR/StartPage.AU (H+BEDV), Win32:Trojan-gen. (ALWIL), Startpage.3.BI (Grisoft), Trojan.Dropper.Rute (SOFTWIN), Trojan.Startpage-162 (ClamAV), Trojan Horse (Panda), Win32/StartPage.NAZ (Eset)