Trojan.Win32.Favadd.m

Jest to ko艅 troja艅ski napisany przy u偶yciu 艣rodowiska programistycznego Delphi (5.0). Rozmiar zainfekowanego pliku to oko艂o 40 KB. Po uruchomieniu trojan dodaje do przegl膮darki Internet Explorer odsy艂acze do stron WWW zawieraj膮cych cracki do popularnych aplikacji.

Szkodnik rejestruje specjalne rozszerzenia w przegl膮darce Internet Explorer:

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerExtensions
{10954C80-4F0F-11d3-B17C-00C0DFE39736}]
"ButtonText"="Search cracks at CrackSpider.NET"
"MenuText"="Search cracks at CrackSpider.NET"
"MenuStatusBar"="Search cracks at CrackSpider.NET"
"ClSid"="{1FBA04EE-3024-11d2-8F1F-0000F87ABD16}"
"Exec"="http://crackspider.net/ie/btn.php"
"HotIcon"="%WINDIR%crcspider.ico"
"Icon"="%WINDIR%crcspider.ico"
"Default Visible"="Yes"

Ponadto trojan dodaje do mechanizmu wyszukiwania przegl膮darki Internet Explorer w艂asne odsy艂acze:

[SoftwareMicrosoftInternet ExplorerSearch]
"SearchAssistant" = "http://crackspider.net/ie/assist.php"
[SoftwareMicrosoftInternet ExplorerMain]
"Search Bar" = "http://crackspider.net/ie/sbar.php"

Trojan tworzy w folderze Ulubione katalog o nazwie Freeman CrackLinks i zapisuje w nim odsy艂acze do stron WWW zawieraj膮cych cracki do popularnych aplikacji:

! CrackSpider.NET
!! TheBUGS.ws
!!! CrackPortal.com
Astalavista
CrackSpider.DE
CrackWay
KeyGen.US
mscrack.com
NeedCrack.us
TheCrack.us

Ostatecznie trojan wy艣wietla przy u偶yciu Internet Explorera stron臋 http://crackspider.net/ie/first.php. Downloader-OS (McAfee),   Trojan.Favadd (Symantec),   Trojan.Favadd (Doctor Web),   TR/Dldr.Favadd (H+BEDV),   Trojan.Startpage-135 (ClamAV),   Win32/Favadd.M (Eset)