Explorea.A

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

164.072 байта

Признаки

При запуске, после выполнения всех действий, перезагружает компьютер командойSHUTDOWN -s -t 00. Собирает информацию о запущенных программах, включаядату и время запуска.

Запускается вместе с исполняемыми файлами (BAT, COM, EXE, PIF, LNK).

Создает в директории Windows (далее %windir%) свою копию под именем INTERNT.EXE, а такжефайл EXELOG.TXT, в котором хранится собранная информация о программах.

Обеспечивает себе автозагрузку при старте Windows (через реестр):

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Registr = %windir%\Internt.exe

Отключает “Редактор реестра”, пункт меню “Свойства папки” в “Проводнике”, пункт “Запуск” в меню “Пуск”:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 01, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Advanced \ Start_ShowRun = 0
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Advanced \ StartMenuRun = 0

Также создает следующие записи в реестре:

  • HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ yeanx\ yeanx \ yeanx = 2
  • HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ yregans\ yregans \ yregans = jregans

Обеспечивает себе запуск вместе с файлами с расширениями BAT, COM, EXE, PIF и LNK.Для этого модифицирует следующие записи реестра (приведены измененные значения):

  • HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command \ (Default) = %windir%\Internt.exe” “%1″%*
  • HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command \ (Default) = %windir%\Internt.exe” “%1″%*
  • HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command \ (Default) = %windir%\Internt.exe” “%1″%*
  • HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command \ (Default) = %windir%\Internt.exe” “%1″%*
  • HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command \ (Default) = %windir%\Internt.exe” “%1″%*

Модифицирует в реестре записи, относящиеся к правилам отображения скрытых файлов и папок (отключает отображение),и к отображению расширений файлов (отключает) - в “Проводнике”:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ Hidden = 00, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ HideFileExt = 01, 00, 00, 00

Trojan.Win32.VB.boy,TR/VB.boy.3.

Visual Basic v6.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Поступает на компьютер в виде исполняемого файла с иконкой, идентичной стандартной иконке папки.

После запуска и установки перезагружает компьютер, после чего запускается всегда вместе с исполняемыми файлами.

Визуально не проявляется.