Trojan.Win32.StartPage.au
Les dernières alertes aux Virus
Alias
Trojan.Win32.StartPage.au (Kaspersky Lab) est également connu sous
le nom de:
StartPage-CH (McAfee) Trojan.StartPage
(Symantec) Trojan:Win32/StartPage.AU (RAV) TROJ_STARTPAGE.O
(Trend Micro) TR/StartPage.AU (H+BEDV)
Genre: Trojan
Détails techniques
Ce cheval de Troie modifie la configuration de l'Internet Explorer de Microsoft sans la connaissance ou le consentement de l'utilisateur. Il s'agit d'un fichier .dll de Windows. Le fichier a une taille de 5,120 octets. Il est compressé avec UPX. Le fichier décompressé est d'environ 7KB.
Installation
Ce cheval de Troie sera installé sur la machine victime par d'autres chevaux de Troie.
Lors de son lancement, le cheval de Troie crée le fichier suivant:
%WinDir%\hh.htt
Afin que le cheval de Troie soit lancé automatiquement à chaque fois que le système sera démarré, le cheval de Troie enregistre son fichier exécutable dans le registre du système:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Control" = "rundll32.exe C:\WINDOWS\system32\ctrlpan.dll,Restore ControlPanel"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "ctrlpan.dll"
Payload
Le cheval de Troie modifie les valeurs de la clé de registre suivante:
[HKLM\Software\Microsoft\Internet Explorer\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\hh.htt"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://aifind.info/"
"Search Page" = "http://aifind.info/"
"Search Bar" = "http://aifind.info/"
[HKCU\Software\Microsoft\Internet Explorer]
"SearchURL" = http://aifind.info/
Il ajoute les fichiers suivants dans les "Favoris"de l'utilisateur actuel :
!!! Exclusive Youngest Porn !!!.url
80 old daddies brutally fucking their daughters.url
CENSORED YOUNGEST PORN.url
Fresh XXX pics & movie.url
Fucking Young Virginz !!!.url
Innocent Girls Brutally Fucked.url
Little Bitches Getting Fucked.url
MSN.com.url
Virgin Girls in Action.url
XX y.o. girls getting brutally fucked by huge dick.url
Young Masha sucking huge dick until her lips teared open.url
Youngest Girls Only.url
Youngest Hardcore Action.url
Le Cheval de Troie ajoute également la chaîne de caractères suivante dans le fichier host %System%\Drivers\etc\host:
205.177.124.66 auto.search.msn.com
Instruction pour l'éradication
Si votre ordinateur ne dispose pas d'une mise à jour de votre Antivirus, ou bien ne dispose pas d'une solution Antivirus, suivez les instructions ci-dessous pour supprimer le programme malveillant:
- Supprimez le fichier Trojan d'origine (le lieu dépendra d'où le programme a initialement pénétré dans la machine victime).
- Supprimez la clé de registre suivante:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Control" = "rundll32.exe C:\WINDOWS\system32\ctrlpan.dll,Restore ControlPanel"
- Modifier le paramètre de la clé suivante du registre:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "ctrlpan.dll"
et la remettre à la valeur initiale:
"AppInit_DLLs" = " "
- Rétablir les valeurs des clés du registre suivantes:
[HKLM\Software\Microsoft\Internet Explorer\Styles]
"Use My Stylesheet" = "1"
"User Stylesheet" = "%WinDir%\hh.htt"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://aifind.info/"
"Search Page" = "http://aifind.info/"
"Search Bar" = "http://aifind.info/"
[HKCU\Software\Microsoft\Internet Explorer]
"SearchURL" = http://aifind.info/
- Supprimez le fichier laissé par le cheval de Troie:
%WinDir%\hh.htt
- Supprimer les fichiers suivants des "Favoris":
!!! Exclusive Youngest Porn !!!.url
80 old daddies brutally fucking their daughters.url
CENSORED YOUNGEST PORN.url
Fresh XXX pics & movie.url
Fucking Young Virginz !!!.url
Innocent Girls Brutally Fucked.url
Little Bitches Getting Fucked.url
MSN.com.url
Virgin Girls in Action.url
XX y.o. girls getting brutally fucked by huge dick.url
Young Masha sucking huge dick until her lips teared open.url
Youngest Girls Only.url
- Modifiez le fichier hôte dans %System%\drivers\etc\hosts en utilisant n'importe quel type
d'éditor Notepad par example. Supprimer les chaines de caractères ajoutées par le cheval de Troie. Le fichier
Fichier hosts a le contenu suivant:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
- Mettre à jour votre Antivirus et effectuer une analyse complète de l'ordinateur.
Source de ces renseignements :
Copyright © 1996 - 2007 Kasperky Lab
http://www.viruslist.com
