Уязвимые ОС: Win NT-based
Размер: 7 680 байт
Упакован: -
- Может распространяться как самостоятельная программа либо как составная часть других вредоносных программ.
- При запуске создаёт несколько копий своего исходного файла:
%Systemroot%\system32\winter.exe,
%Systemroot%\system32\proper.exe,
%USERPROFILE%\Start Menu\Programs\Startup\infos.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe
- Для обеспечения своего запуска при каждом старте Windows регистрирует созданную копию %Systemroot%\system32\winter.exe, в системном реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Undefined = "C:\WINDOWS\system32\winter.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Undefined = "C:\WINDOWS\system32\winter.exe"
- Регистрирует свою копию %Systemroot%\system32\proper.exe в качестве оболочки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = "Explorer.exe C:\WINDOWS\system32\proper.exe"
- Помимо этого, создаёт в реестре ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D27987B8-7244-4DE0-AE10-39B826B492F1}
,прописывая в нём путь к динамической бииблиотеке %systemroot%\system32\bronto.dll, однако, при этом, сам файл библиотеки не создаётся.
- Запрещает вызов Диспетчера задач и работу с утилитами для редактирования реестра, путём внесения соответствующих изменений в системный реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr: 0x00000001
- Модифицирует hosts-файл, внося в него список сайтов, к которым запрещает доступ:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
engine.awaps.net
f-secure.com
fastclick.net
ftp.avp.ch
ftp.downloads1.kaspersky-labs.com
ftp.downloads2.kaspersky-labs.com
ftp.downloads3.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
go.microsoft.com
ids.kaspersky-labs.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
microsoft.com
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
norton.com
office.microsoft.com
pandasoftware.com
phx.corporate-ir.net
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
virusscan.jotti.org
virustotal.com
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky-labs.com
www.kaspersky.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www.virustotal.com
www3.ca.com
- Устанавливает Internet Explorer как браузер по умолчанию:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gopher\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gopher\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command\
""C:\Program Files\Internet Explorer\iexplore.exe" %1"
- Устанавливает http://google.com в качестве стартовой страницы Internet Explorer.
- Понижает политики безопасности в Internet Explorer.
- Периодически выводит на экран предупреждающее о якобы несанкционированных действиях операционной системы с предложением скачать и установить средство антивирусной защиты:
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. Открыть Блокнот (notepad.exe) и внести следующие строки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
После этого сохранить этот файл как файл реестра - с расширением *.reg. Запустить полученный reg-файл и на подтверждающий запрос о внесении изменений в реестр ответить утвердительно.
5. Для восстановления работоспосбности Панели управления необходимо вызвать редактор реестра Regedit и установить значение:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel: 0x00000000
6.Перезагрузить компьютер.