Trojan.Win32.Krotten.cl

Trojan ten posiada szkodliw膮 funkcj臋. Ma posta膰 pliku PE EXE o rozmiarze 137728 bajt贸w. Powsta艂 w j臋zyku programowania C++.

Funkcje szkodnika

Po uruchomieniu trojan modyfikuje klucze rejestru systemowego, aby uniemo偶liwi膰 u偶ytkownikowi wykonanie pewnych czynno艣ci, na przyk艂ad:

  1. Lokalne dyski twarde nie b臋d膮 widoczne z Explorera;
  2. Nie mo偶na zamkn膮膰 okien Explorera;
  3. Menu Start b臋dzie wy艣wietla膰 tylko "Programy" i "Ustawienia"
  4. Ikonka "Panel sterowania" nie b臋dzie widoczna;
  5. Nie mo偶na uruchomi膰 "Edytora rejestru"
  6. Nie mo偶na uruchomi膰 wiersza polece艅;
  7. Nie mo偶na wywo艂a膰 "Mened偶era zada艅"
  8. Zmienione s膮 nag艂贸wki okna Internet Explorera oraz strona startowa;
  9. Zamiast czasu wy艣wietlane b臋dzie obsceniczne wyra偶enie.

Trojan modyfikuje nast臋puj膮ce klucze rejestru systemowego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedStart_ShowRun]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuMFUprogramsList]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuPinnedList]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuSubFolders]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoCommonGroups]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSMMyPictures]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuMyMusic]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSMMyDocs]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoActiveDesktop]
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoViewOnDrive]
[HKCUSoftwareMicrosoftInternet ExplorerMainStart Page] [HKCUSoftwareMicrosoftInternet
ExplorerMainWindow title] [HKCUSoftwareMicrosoftInternet ExplorerMainNoControlPanel]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoDrives] [HKCUSoftwareMicrosoftInternet
ExplorerMainNoRun] [HKCUSoftwareMicrosoftInternet ExplorerMainNoFind]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoFavoritesMenu]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoRecentDocsMenu]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoLogOff] [HKCUSoftwareMicrosoftInternet
ExplorerMainNoClose] [HKCUSoftwareMicrosoftInternet ExplorerMainNoSaveSettings]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoUserNameInStartMenu]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoToolbarCustomize]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoThemesTab] [HKCUSoftwareMicrosoftInternet
ExplorerMainNoSMHelp] [HKCUSoftwareMicrosoftInternet ExplorerMainNoPrinterTabs]
[HKCUSoftwareMicrosoftInternet ExplorerMainNoPrinters] [HKCUSoftwareMicrosoftInternet
ExplorerMainNoNetHood] [HKCUSoftwareMicrosoftInternet
ExplorerMainNoManageMyComputerVerb]
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerNoViewContextMenu]
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpaceDelegateFolders]
[HKCUControl PanelDesktopWallpaperOriginX] [HKCUControl PanelDesktopWallpaperOriginY]
[HKLMSoftwareMicrosoftInternet ExplorerMainStart Page] [HKLMSoftwareMicrosoftInternet
ExplorerMainWindow title] [HKCUControl PanelDesktopMenuShowDelay] [HKCUControl
PanelInternationalsTimeFormat]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuPinnedList]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuMFUprogramsList]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuSubFolders]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoCommonGroups]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSMMyPictures]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoStartMenuMyMusic]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSMMyDocs]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDesktop]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoActiveDesktop]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoViewOnDrive]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoControlPanel]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrives]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFavoritesMenu]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRecentDocsMenu]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoLogOff]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSaveSettings]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoUserNameInStartMenu]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoToolbarCustomize]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoThemesTab]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoSMHelp]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoPrinterTabs]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoPrinters]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoNetHood]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoManageMyComputerVerb]
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesUninstallNoAddRemovePrograms]

Po zmodyfikowaniu rejestru systemowego trojan wy艣wietli na zaatakowanej maszynie nast臋puj膮cy komunikat:

Celem trojana jest wymuszanie pieni臋dzy od u偶ytkownik贸w zaatakowanych maszyn. Trojan oferuje u偶ytkownikowi mo偶liwo艣膰 przywr贸cenia komputera do normalnego stanu w zamian za przelanie pewnej sumy pieni臋dzy autorowi trojana.

Po powt贸rnym uruchomieniu komputera trojan wy艣wietla nast臋puj膮cy komunikat:

W tym celu trojan modyfikuje nast臋puj膮cy klucz rejestru systemowego:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonLegalNoticeCaption]
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonLegalNoticeText]
[HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeCaption]
[HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogonLegalNoticeText]

Trojan tworzy r贸wnie偶 nast臋puj膮ce puste foldery:

C:Windows98
C:Windows91

oraz nast臋puj膮cy klucz rejestru:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"AvpM" = "C:WindowspchealthUploadLBConfigAvpM.exe"

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Pobierz klwk.com, darmowe narz臋dzie do usuwania szkodliwego oprogramowania.
  2. Rozpakuj archiwum klwk.zip i uruchom plik wykonywalny klwk.com.
  3. Czekaj do zako艅czenia skanowania, nast臋pnie ponownie uruchom klwk.com z wiersza polece艅 z parametrem /s:
    (艣cie偶ka do narz臋dzia)klwk.com /s
    
  4. Czekaj do zako艅czenia skanowania.
  5. Usu艅 wszystkie foldery stworzone przez trojana.
    C:Windows98
    C:Windows91
    

    Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "AvpM" = "C:WindowspchealthUploadLBConfigAvpM.exe"

  6. Przywr贸膰 dane dotycz膮ce rejestru systemowego z kopii zapasowej.
  7. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).