B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy





Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Trojan.Win32.StartPage.fg

Jest to ko艅 troja艅ski. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 69 KB.

Po uruchomieniu trojan wy艣wietla za po艣rednictwem przegl膮darki internetowej stron臋: 

http://crackspider.net/ie/first.php

Szkodnik tworzy w folderze Windows plik crcspider.ico o rozmiarze 766 bajt贸w.

Nast臋pnie trojan tworzy wpisy w rejestrze systemowym:

  • [HKCUSoftwareMicrosoftInternet ExplorerMain]
    "Search Bar" = "http://crackspider.net/ie/sbar.php"
  • [HKCUSoftwareMicrosoftInternet ExplorerSearch]
    "SearchAssistant" = "http://crackspider.net/ie/assist.php"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "ButtonText" = "Search cracks at CrackSpider.NET"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "ClSid" = (1FBA04EE-3024-11d2-8F1F-0000F87ABD16)
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "Default Visible" = "Yes"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "Exec" = "http://crackspider.net/ie/btn.php"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "HotIcon" = "%windows%crcspider.ico"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "Icon" = "%windows%crcspider.ico"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "MenuStatusBar" = "Search cracks at CrackSpider.NET"
  • [HKCUSoftwareMicrosoftInternet ExplorerExtensions
    (10954C80-4F0F-11d3-B17C-00C0DFE39736)]
    "MenuText" = "Search cracks at CrackSpider.NET"

Trojan tworzy tak偶e w folderze Ulubione nowy folder o nazwie cracks. Zawiera on nast臋puj膮ce odsy艂acze: 

! CrackSpider.NET - Cracks search engine.url 
!! TheBUGS.ws - Security Related Portal.url 
!!! CrackPortal.com - Cracks, serial numbers.....url 
anyCracks.com - Keygens, patches, crackz....url 
Astalavista - Cracks search engine.url 
CrackSpider.DE - Cracks search engine.url 
CrackSpider.US - Cracks search engine.url 
CrackWay - Since 2001 cracks arhive.url 
iCracks.net - Keygens, patches, crackz....url 
KeyGen.US - Keygens, patches, crackz....url 
mscrack.com - Cracks, serial numbers.....url

Szkodnik zmienia zawarto艣膰 pliku "%System%driversetchosts" na: 

213.239.0.226   andr.net
213.239.0.226   astalavista.box.sk
213.239.0.226   crackspider.com
213.239.0.226   crackz.ws
213.239.0.226   www.andr.net
213.239.0.226   www.crackz.ws
213.239.0.226   www.crackspider.com

W rezultacie podczas otwierania jednej z powy偶szych stron przegl膮darka internetowa zainfekowanego komputera zostanie przekierowana pod adres 213.239.0.226.

Trojan dodaje do paska narz臋dzi przegl膮darki Internet Explorer w艂asn膮 ikon臋. kt贸ra funkcjonuje jako odsy艂acz do strony http://crackspider.net/ie/btn.php i otwiera folder Ulubione. StartPage-DX (McAfee),   Trojan.StartPage (Symantec),   Trojan.StartPage.278 (Doctor Web),   Trojan:Win32/StartPage.FG (RAV),   TROJ_STARTPAG.S (Trend Micro),   TR/Dldr.Favadd (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Startpage.9.BV (Grisoft),   Trojan.StartPage.FG (SOFTWIN),   Trojan.Startpage-135 (ClamAV),   Trj/StartPage.gen (Panda),   Win32/StartPage.FG (Eset)


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Kontakt | Polityka plik贸w cookie
Copyright © 2023 WirusPC.pl