Troj_StartPage-FG
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 69000 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, StartPage-FG provoque l'ouverture du site web suivant avec Internet Explorer :
http://crackspider.net/ie/first.php
Il créait un fichier de 766 octets nommé "crcspider.ico" dans le répertoire %Windows%.
Le Troyen créait également les clés de registre suivantes :
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Bar" = "http://crackspider.net/ie/sbar.php"
[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant" = "http://crackspider.net/ie/assist.php"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ButtonText" = "Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ClSid" = (1FBA04EE-3024-11d2-8F1F-0000F87ABD16)
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Default Visible" = "Yes"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Exec" = "http://crackspider.net/ie/btn.php"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"HotIcon" = "%windows%\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Icon" = "%windows%\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuStatusBar" = "Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuText" = "Search cracks at CrackSpider.NET"
StartPage-FG créait un dossier nommé "cracks" dans les Favoris d'Internet Explorer. Ce dossier contient les liens et descriptions suivantes :
! CrackSpider.NET - Cracks search engine.url
!! TheBUGS.ws - Security Related Portal.url
!!! CrackPortal.com - Cracks, serial numbers.....url
anyCracks.com - Keygens, patches, crackz....url
Astalavista - Cracks search engine.url
CrackSpider.DE - Cracks search engine.url
CrackSpider.US - Cracks search engine.url
CrackWay - Since 2001 cracks arhive.url
iCracks.net - Keygens, patches, crackz....url
KeyGen.US - Keygens, patches, crackz....url
mscrack.com - Cracks, serial numbers.....url
Il modifie également le fichier HOSTS de "%System%\drivers\etc\hosts" en y ajoutant les éléments suivants :
213.239.0.226 andr.net
213.239.0.226 astalavista.box.sk
213.239.0.226 crackspider.com
213.239.0.226 crackz.ws
213.239.0.226 www.andr.net
213.239.0.226 www.crackz.ws
213.239.0.226 www.crackspider.com
Lorsque le navigateur est utilisé pour visiter l'un des sites ci-dessus, l'utilisateur sera automatiquement redirigé vers l'adresse 213.239.0.226.
Enfin, le Troyen ajoute sa propre icône dans la barre d'outils d'Internet Explorer. Cette icône pointe vers l'adresse "http://crackspider.net/ie/btn.php", mais également vers les liens des Favoris d'Internet Explorer.
Taille: 69000 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, StartPage-FG provoque l'ouverture du site web suivant avec Internet Explorer :
http://crackspider.net/ie/first.php
Il créait un fichier de 766 octets nommé "crcspider.ico" dans le répertoire %Windows%.
Le Troyen créait également les clés de registre suivantes :
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Bar" = "http://crackspider.net/ie/sbar.php"
[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant" = "http://crackspider.net/ie/assist.php"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ButtonText" = "Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"ClSid" = (1FBA04EE-3024-11d2-8F1F-0000F87ABD16)
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Default Visible" = "Yes"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Exec" = "http://crackspider.net/ie/btn.php"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"HotIcon" = "%windows%\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"Icon" = "%windows%\crcspider.ico"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuStatusBar" = "Search cracks at CrackSpider.NET"
[HKCU\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)]
"MenuText" = "Search cracks at CrackSpider.NET"
StartPage-FG créait un dossier nommé "cracks" dans les Favoris d'Internet Explorer. Ce dossier contient les liens et descriptions suivantes :
! CrackSpider.NET - Cracks search engine.url
!! TheBUGS.ws - Security Related Portal.url
!!! CrackPortal.com - Cracks, serial numbers.....url
anyCracks.com - Keygens, patches, crackz....url
Astalavista - Cracks search engine.url
CrackSpider.DE - Cracks search engine.url
CrackSpider.US - Cracks search engine.url
CrackWay - Since 2001 cracks arhive.url
iCracks.net - Keygens, patches, crackz....url
KeyGen.US - Keygens, patches, crackz....url
mscrack.com - Cracks, serial numbers.....url
Il modifie également le fichier HOSTS de "%System%\drivers\etc\hosts" en y ajoutant les éléments suivants :
213.239.0.226 andr.net
213.239.0.226 astalavista.box.sk
213.239.0.226 crackspider.com
213.239.0.226 crackz.ws
213.239.0.226 www.andr.net
213.239.0.226 www.crackz.ws
213.239.0.226 www.crackspider.com
Lorsque le navigateur est utilisé pour visiter l'un des sites ci-dessus, l'utilisateur sera automatiquement redirigé vers l'adresse 213.239.0.226.
Enfin, le Troyen ajoute sa propre icône dans la barre d'outils d'Internet Explorer. Cette icône pointe vers l'adresse "http://crackspider.net/ie/btn.php", mais également vers les liens des Favoris d'Internet Explorer.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
