Mail.ruПочтаМой МирОдноклассникиВКонтактеИгрыЗнакомстваНовостиКалендарьОблакоЗаметкиВсе проекты

Вирус в кряке nursultan client

Тимофей Коновалов Знаток (385), на голосовании 2 месяца назад
крч что случилось и мне резко понадобился кряк нурсултан килиент альфа и скачиваю и каспер детектит вот это Uds: trojan.win 32.agent.xbsllg что это за хрень?
Голосование за лучший ответ
Арсений Дёмочкин Ученик (130) 3 месяца назад
Trojan.Win32.Agent.il

Rootkit: Нет
Синонимы: Trojan.Griven (DrWeb)

В октябре 2005 года наблюдался пик активности данной троянской программы. Данный троян интересен тем, что не лечится антивирусами - удаление самого "зверя" недостаточно для восстановления работы системы.
Сам троян имеет размер 53777 байта, ничем не сжат и не зашифрован. В момент запуска копирует себя в системные папки:
WINDOWS\system32\AudioHQ.dll.exe
WINDOWS\system32\oobe\explorer.exe
и прописывает себя в автозапуск при помощи стандартного ключа реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
(причем в автозапуск приписывается оба файла)
Обе программы совершенно идентичны и отличаются только местоположением. Процесс отрабатывает и завершается (т. е. они не висят в процессе работы в памяти, что затрудняет обнаружение) .
Деструктивное действие состоит в
1. создании ряда ключей реестра, которые ограничивают действия пользователя (т. н. Policies), например блокируется закрытие окна проводника, нет доступа к многим настройкам, блокируется запуск RegEdit
2. Добавляет параметры WinLogon, выводящие при загрузке сообщение "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail <**email злоумышленника**> код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления... " с заголовком окна "DANGER"
3. Меняет ряд настроек IE (заголовок окна, стартовую страницу)
4. Меняет форматную строку, отвечающую за форматирование времени (в региональных настроках) , что приводит к выводу вместо времени в программах (в том числе в SysTray) нецензурщины
5. Ставит атрибуты "скрытый", "системный" для Windows, Program Files (при этом делает это некорректно - папки ищутся на диске C:\), создает несколько посторонних папок, в частности "Типа WINDOWS" "Типа WINDOWS2" "Типо Мои Докумены"
Тимофей КоноваловЗнаток (385) 2 месяца назад
реестер я почистил
DiabloУченик (55) 1 месяц назад
Вирусов в Нурике нет
Похожие вопросы