Trojan.Win32.Agent.il
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер около 54 КБ.
Эксперты «Лаборатории Касперского» предупреждают, что данный троянец распространялся под видом файла-обманки, предоставляющего якобы бесплатный доступ к различным платным интернет-ресурсам. В случае запуска данного файла пользователь не может использовать ресурсы операционной системы в полном объеме.
Специалисты «Лаборатории Касперского» предупреждают пользователей интернета о том, что необходимо быть максимально бдительными при работе с сомнительными файлами.
Инсталляция
После запуска троянец регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer"="<путь до троянской программы>" "RUNDLL32.EXE AudioHQ"="<путь до троянской программы>"
При каждой следующей загрузке Windows автоматически запустит файл трояна.
Действие
Троянец изменяет различные ключи системного реестра с целью ограничения действий пользователя. Например:
* блокирует запуск самого системного реестра (RegEdit), запуск Диспетчера Задач (Task Manager);
* блокирует закрытие окон проводника, окон Internet Explorer;
* блокирует доступ к настройкам файлов и папок;
* изменяет содержание меню «Пуск» («Start»);
* блокирует запуск командной строки и другие действия. Пример измененных ключей системного реестра:
[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons] [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\RPLifeInterval] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommonGroups] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFavoritesMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetHood] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinters] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinterTabs] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyDocs] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyPictures] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMFUprogramsList] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMyMusic] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuPinnedList] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuSubFolders] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoThemesTab] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr] [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL]
Троянец изменяет различные настройки Internet Explorer: заголовок окна, стартовую страницу:
[HKLM\Software\Microsoft\Internet Explorer\Main\Window title] [HKLM\Software\Microsoft\Internet Explorer\Main\Start Page]
В системном трее вместо часов, показывающих системное время, троянец помещает нецензурные выражения:
[HKCU\Control Panel\International\sTimeFormat]Троянец изменяет атрибуты для папок Windows и «Program Files». Одновременно с этим создаются папки «Типа Windows», «Типа Windows2» и «Типо Мои Документы».
Но самой главной целью авторов данного троянца является вымогание денежных средств с пользователей зараженных компьютеров. Троянец предлагает «жертвам» восстановить нормальную работу компьютера за небольшую сумму перечисленную на счет авторов троянца.
Троянец добавляет следующие ключи реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText] [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption] [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText]
Во время загрузки компьютера троянец выдает следующее сообщение:
Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail word@wala.com код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь файл для удаления этой программы.