Троянская программа Trojan.Plastix Описание

В распространяемых почтовых сообщениях адресатам предлагается посетить Интернет-ресурс gsm-card.iscool.net и загрузить универсальный генератор кодов для пополнения абонентских счетов мобильных операторов Украины. При запуске программы компьютер заражается троянцем, который выдает уведомление о необходимости перечисления 25 грн на определенный счет для восстановления работоспособности ПК. Имя программы CodGen7.9.exe. Размер 53964 байта.

Запуск вируса

С целью обеспечения автозапуска своей копии в системе троян вносит следующие значения в ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run :
"winlogon.exe” = C:\WINDOWS\system32\services.db.exe
"svchost” = C:\WINDOWS\inf\svchost.exe

Распространение

Способов самостоятельного распространения (почтовая рассылка, использование удаленных уязвимостей) не выявлено. Для заражения системы необходимо загрузить программу с указанного выше ресурса и запустить ее.

Действия

1) Программа копирует себя в директорию C:\WINDOWS\system32 под именем services.db.exe и в директорию C:\WINDOWS\inf под именем svchost.exe.
2)Создаёт следующие директории на диске С:
Типа Windows
062014622823780
302308736266644
447515826626665
824523728671442
3) Меняет атрибуты директорий Windows и Program Files на Скрытый
4) Блокируется запуск системных утилит для запуска редактора реестра Windows путём задания следующих значений в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
5) Блокирует запуск стандартных системных утилит Администрирования в Windows, в том числе Восстановление Системы;
6) Удаляет все пункты системного меню Windows, кроме Программы, Настройка
7) Удаляет все иконки с Рабочего стола;
8) Подменяет стартовую страницу Internet Explorer путём внесения следующих изменений в реестре:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = _http://poetry.rotten.com/uday/index19.html
9) Блокирует выгрузку Internet Explorerа и изменение его свойств путём задания в реестре следующих значений:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserClose=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoNavButtons=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoSelectDownloadDir=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserContextMenu=1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions, NoBrowserOptions=1
10) Блокируется запуск Диспетчера Задач Windows, а также команды Завершения/перезагрузки системы через стандартный графический интерфейс.

Рекомендации по восстановлению системы

В случае заражения системы рекомендуется произвести следующие действия:
A. Воспользоваться дисковым сканером Dr.Web®, либо бесплатной утилитой Dr.Web® CureIT! для сканирования диска С. Действие для файлов из п. 1) – удалить.
B. Произвести загрузку системы с загрузочного СD диска, например Live CD XP;
C. Восстановить первичную контрольную точку воcстановления Windows (созданную при инсталляции Windows), воспользовавшись дополнительными утилитами по восстановлению реестра сторонних производителей. Подробнее о контрольных точках восстановления Windows см. _http://support.microsoft.com/default.aspx?scid=kb;ru;310405

**********************

Dr.Web Trojan.Plastix fix utility

Специалисты службы вирусного мониторинга компании «Доктор Веб» разработали новую утилиту, предназначенную для лечения последствий заражения вредоносными программами семейства Trojan.Plastix. Новая утилита, получившая название Dr.Web Trojan.Plastix fix utility восстанавливает работу поражённого компьютера.
Freeware

До сегодняшнего дня антивирусные программы могли лишь удалять непосредственно файл-носитель Trojan.Plastix, но не восстанавливать работоспособность поражённой им системы. Бесплатная утилита от компании «Доктор Веб» создана как раз для того, чтобы исправить сложившуюся ситуацию. Это стало возможным благодаря заложенной уникальной функции возвращения в исходное состояние записей системного реестра, которые были модифицированы Trojan.Plastix.

Важно! Утилита Dr.Web Trojan.Plastix fix utility лишь дополняет функционально действие лечащей утилиты Dr.Web CureIt! и антивирусного сканера Dr.Web, которые удаляют сам файл-носитель вредоносных программ семейства Trojan.Plastix.

Преимущества утилиты:
* Универсальность – работоспособность компьютера будет восстановлена, независимо от модификации Trojan.Plastix его поразившей.
* Компактность утилиты.
* Утилита не требует установки – достаточно просто запустить файл plstfix.exe.

Дом. стр / Home page