VirusHunter предупреждает всех пользователей ПК о появлении в Интернет-сети вредоносного троянского скрипта TrojanScript.StartPage, распространяющегося в виде компонентов Интернет-страничек...


Детальное описание троянской программы TrojanScript.StartPage.

1. Попадание в машину.

TrojanScript.StartPage представляет собой ActiveXComponent (см. описание скрипт-вируса VBS.Folder, aka VBS.Redlof.a), программа которого написана на языке Java Script. Попадает в машину при автосохранении временных файлов-компонентов оформления Интернет-страничек (баннеров, вспомагательных скриптов и т.п.) в один из подкаталогов системной или пользовательской директории:

для Windows 9X/ME:

WINDOWS\Temporary Internet Files\Content.IE5\

для Windows 2K/2KServer/XP/2K3Server:

Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.IE5\

, где %username% - имя текущего пользователя.
Файл имеет JS-формат (файл с произвольным именем и расширением "js"; например, scr3[1].js) и способен сразу активизироваться и заразить компьютер, если на последнем установлена система Windows 98, 98 SE, ME, NT, 2K или 2K Server и программой web-броузера Internet Explorer версий 4.0.....5.5 SP2 включительно.
Троянец использует некоторые бреши в скрипт-защите Internet Explorer, активизируясь и устанавливая себя в систему при обращении к Интернет-страничкам, содержащим ссылку на опасный файл-"оформитель". Однако, если на компьютере установлена одна из вышеперечисленных Windows-систем с установленной обновленной версией Internet Explorer 6.0 или выше, или же система Windows XP (или более поздние версии ОС Windows), то троянский скрипт не может сработать.
Также троянская программа может быть и просто встроена в код какой-либо HTML-странички.


2. Инсталляция в систему.

Устанавливая себя в систему, троянец создает в системном подкаталоге C:\WINDOWS\SYSTEM (для Windows 9X и ME) или C:\WINDOWS\SYSTEM32 (для Windows 2K и 2000 Server) DLL-файл со случайным именем (например, sp.dll), в который копирует свой код, содержащий основные команды. Для активизации данного файла при каждом старте Windows троянец создает в системном реестре ключ автозапуска в разделе

HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\

с ссылкой на этот файл, регистрируя последний в системе как Windows Script Host Shell Object (основной модульный компонент системного приложения Explorer) и Windows Script Host Network Object (основной модульный компонент вэб-броузера Internet Explorer), что наделяет троянца двумя свойствами:

 - способностью работать в "фоновом" режиме (стэлс-активация без фигурирования в каком-либо из служебных списков активных системных процессов);

- негласно осуществлять определенные действия при подключении машины к сети Интернет.


3. Вредоносные действия.

Троянец прописывает в системный реестр целый ряд ключей, а также вносит ряд изменений в настройки, связанные с работой вэб-броузера Internet Explorer:

1. В качестве стартовой страницы устанавливается адрес http://www.cards.ru. Этот же адрес троянец вызывает в строке поиска во всех открытых окнах вэб-броузера во время работы в сети Интернет с промежутками в 16 минут 40 секунд, ведя отсчет времени с момента подключения к Интернет-сети и до отключения от нее.

2. На Рабочем столе создается ярлык под названием "Chats & postcards", при нажатии на который вызывается адрес http://www.cartoons.ru

3. В меню "Избранное" добавляется ссылка под названием "Hosting for everyone", при нажатии на которую вызывается адрес http://www.af.ru (данная процедура работает только под русской, английской, испанской или итальянской версиями web-броузера Internet Explorer).

4. В меню "Ссылки" дописывается ссылка под названием "Интернет-услуги", при нажатии на которую вызывается адрес http://www.deluxe.ru/

5. В меню "Поиск" добавляется адрес http://www.one.ru, мешающий вводу и вызову искомого Вами адреса.


4. Детектирование троянца и его удаление из системы.

С января 2005 года номенклатурные названия вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Trojan.JS.StartPage.l

Антивирус BitDefender Professional: JS.Trojan.Seeker.AK

Антивирус DrWeb: Trojan.AppActXComp

При обнаружении в системе данного троянца необходимо удалить не только его файл, но еще и ключи, перенаправляющие вызовы ссылок в вэб-броузере Internet Explorer. Для этого, очевидно, придется воспользоваться специальными утилитами для просмотра списка ключей системного реестра.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 15.11.2004
Дата внесения последних изменений: 27.05.2004
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00650000572205