| Автор |  |
| Категория | Троян |
| Дата обнаружения | 09.11.2012 |
| Размер | 141824 |
| Другие названия | |
| RDN/PWS-Banker.dldr!g (McAfee) | |
| Trojan:Win32/Comisproc (Microsoft) | |
| Downloader.Rozena (AVG) |
Краткое описание
Win32/StartPage.Лапка-это троян, который меняет домашней страницы некоторых веб-браузеров. Троян пытается загрузить и выполнить несколько файлов из Интернета.
Как устанавливается
Троян не создает своих копий.
Троян изменяет домашнюю страницу для следующих веб-браузеров:
- Microsoft Internet Explorer
Следующие записи реестра:
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
- "Start Page" = "http://www.9365.info"
- [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
- "(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
- "(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
- "Start Page" = "http://www.9365.info"
- "(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
- "(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
Троян может устанавливать следующие значения реестра:
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
- "DefaultScope" = "baidu"
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\baidu]
- "URL" = "http://www.baidu.com/baidu?tn=flstudios_cb&word={searchTerms}&cl=3&ie=utf-8"
- "DisplayName" = "|+|+---"
- "DefaultScope" = "baidu"
- "URL" = "http://www.baidu.com/baidu?tn=flstudios_cb&word={searchTerms}&cl=3&ie=utf-8"
- "DisplayName" = "|+|+---"
Дополнительная информация
Троян содержит список URL-адресов, с которых он пытается загрузить файл с адресами.
Файл хранится в следующей папке:
- %currentfolder%\hzsoft\%variable%.exe
- %currentfolder%\%variable%.exe
Затем файлы запускаются. Используется HTTP протокол.
Вместо %variable% используется строка с разным содержанием
Троян может удалить файлы из следующих папок:
- %currentfolder%
Затем троян удаляет себя с компьютера.
