Имя:TR/Krotten.W.1
Обнаружен:02/02/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:54.565 байт.
Контрольная сумма MD5:fb5c2265f8aec5ef7282ffd1e26bb1b3
Версия VDF:6.33.00.187
Версия ядра:54.565

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Krotten.ao


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра


После запуска выдается следующая информация:


 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\Cursors\avp.exe
   • svchost = %WINDIR%\Web\rundll32.exe



Удаляются все значения следующих ключей реестра и их подключей:
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Новое значение:
   • NoViewContextMenu = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKCU\Control Panel\Desktop]
   Новое значение:
   • MenuShowDelay = 9999
   • WallpaperOriginY = 187
   • WallpaperOriginX = 210

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • Start Page = %Настройки пользователя%
   Новое значение:
   • Start Page = http://poetry.rot**********

– [HKEY_LOCAL_NACHINE\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • Start Page = %Настройки пользователя%
   Новое значение:
   • Start Page = http://poetry.rot**********

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKLM\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   Новое значение:
   • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Новое значение:
   • NoAddRemovePrograms = dword:00000001

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Andrei Gherman в(о) среда, 8 марта 2006 г.
Описание обновил Andrei Gherman в(о) среда, 8 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.