GoRecord

Новости

Тип:

Троян Трояны - вредоносные программы, выполняющие различные несанкционированные действия в системе. Это может быть, в частности, сбор и отправка информации, загрузка из интернета и выполнение другого кода, участие в DoS-атаках, рассылка спама. В отличие от вирусов и червей, трояны не распространяются самостоятельно. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

Приложение не устанавливается самостоятельно.

При запуске создает директорию %UserProfile%\.gstreamer-0.10 (%UserProfile% - директория текущего пользователя).

Создает следующие файлы:

  • %UserProfile%\Local Settings\Application Data\[СЛУЧАЙНЫЕ_СИМВОЛЫ].dat
  • %UserProfile%\Local Settings\Application Data\[СЛУЧАЙНЫЕ_СИМВОЛЫ].exe
  • %UserProfile%\Local Settings\Application Data\[СЛУЧАЙНЫЕ_СИМВОЛЫ]_nav.dat
  • %UserProfile%\Local Settings\Application Data\[СЛУЧАЙНЫЕ_СИМВОЛЫ]_navps.dat
  • %UserProfile%\Local Settings\Temp\[СЛУЧАЙНЫЕ_СИМВОЛЫ].tmp
  • C:\Documents and Settings\All Users\Desktop\GoRecord 2.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\GoRecord 2\GoRecord 2.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\GoRecord 2\Privacy Policy.url
  • C:\Documents and Settings\All Users\Start Menu\Programs\GoRecord 2\Terms and Conditions.url
  • C:\Documents and Settings\All Users\Start Menu\Programs\GoRecord 2\Uninstall.lnk
  • C:\Documents and Settings\All Users\Start Menu\Programs\GoRecord 2\Website.url
  • %ProgramFiles%\GoRecord2\Gfx.bin
  • %ProgramFiles%\GoRecord2\GoRecord.exe
  • %ProgramFiles%\GoRecord2\iconv.dll
  • %ProgramFiles%\GoRecord2\intl.dll
  • %ProgramFiles%\GoRecord2\libglib-2.0-0.dll
  • %ProgramFiles%\GoRecord2\libgmodule-2.0-0.dll
  • %ProgramFiles%\GoRecord2\libgobject-2.0-0.dll
  • %ProgramFiles%\GoRecord2\libgstaudio-0.10.dll
  • %ProgramFiles%\GoRecord2\libgstaudioconvert.dll
  • %ProgramFiles%\GoRecord2\libgstbase-0.10.dll
  • %ProgramFiles%\GoRecord2\libgstcontroller-0.10.dll
  • %ProgramFiles%\GoRecord2\libgstcoreelements.dll
  • %ProgramFiles%\GoRecord2\libgstdecodebin.dll
  • %ProgramFiles%\GoRecord2\libgstdirectsound.dll
  • %ProgramFiles%\GoRecord2\libgstflump3dec.dll
  • %ProgramFiles%\GoRecord2\libgsticydemux.dll
  • %ProgramFiles%\GoRecord2\libgstid3demux.dll
  • %ProgramFiles%\GoRecord2\libgstinterfaces-0.10.dll
  • %ProgramFiles%\GoRecord2\libgstlevel.dll
  • %ProgramFiles%\GoRecord2\libgstneon.dll
  • %ProgramFiles%\GoRecord2\libgstogg.dll
  • %ProgramFiles%\GoRecord2\libgstreamer-0.10.dll
  • %ProgramFiles%\GoRecord2\libgstriff-0.10.dll
  • %ProgramFiles%\GoRecord2\libgsttag-0.10.dll
  • %ProgramFiles%\GoRecord2\libgsttypefindfunctions.dll
  • %ProgramFiles%\GoRecord2\libgstvolume.dll
  • %ProgramFiles%\GoRecord2\libgstvorbis.dll
  • %ProgramFiles%\GoRecord2\libgstwavparse.dll
  • %ProgramFiles%\GoRecord2\libgthread-2.0-0.dll
  • %ProgramFiles%\GoRecord2\libxml2.dll
  • %ProgramFiles%\GoRecord2\ogg.dll
  • %ProgramFiles%\GoRecord2\resources\config.bin
  • %ProgramFiles%\GoRecord2\resources\musics.s3db
  • %ProgramFiles%\GoRecord2\resources\radios.s3db
  • %ProgramFiles%\GoRecord2\sqlite3.dll
  • %ProgramFiles%\GoRecord2\uninst.exe
  • %ProgramFiles%\GoRecord2\vorbis.dll
  • %ProgramFiles%\GoRecord2\zlib1.dll
  • %System%\nvs2.inf
  • %Windir%\Temp\msksetup.log

В реестре создает следующие подключи:

  • HKEY_CURRENT_USER\Software\GoRecord
  • HKEY_CURRENT_USER\Software\LanConfig
  • HKEY_LOCAL_MACHINE\SOFTWARE\GoRecord
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoRecord
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\[СЛУЧАЙНЫЕ_СИМВОЛЫ]

Обеспечивает себе автозагрузку вместе с Windows. Для этого создает в реестре следующую запись:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[СЛУЧАЙНЫЕ_СИМВОЛЫ]” = “C:\Documents and Settings\administrator\Local Settings\Application Data\[СЛУЧАЙНЫЕ_СИМВОЛЫ].exe [СЛУЧАЙНЫЕ_СИМВОЛЫ]”

Может записать в систему копию трояна Trojan.Skintrim.

Пытается подключиться к сайту gorecord.com.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Приложение для платформы Windows (GoRecord, v2.0.0.7, назначение: музыкальный каталог). Содержит в себе Trojan.Skintrim, который записывается в систему при старте приложения).