Trojan.StartPage.Win32.14997

Trojan.StartPage.Win32.14997 - Вредоносная программа,  предназначенная для вирусной рекламы российского поискового сервиса  Webalta.ru. Представляет собой исполняемый EXE  файл (Windows PE), рразмер вредоносного программного обеспечения - 53832 байт, файл упакован UPX.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждает пользователя скачать её и запустить у себя на компьютере.Также, активно рраспространяется  при помощи специально созданных сайтов, направленных именно на рекламу и рраспространение данной программы.

Внедрение в систему

После запуска троянская программа скрытно инсталлируется в систему, для чего копирует своё тело в папку:

%Documents and Settings%\User\Application Data\ WebaltaService\WebaltaService.exe

Для автозапуска, при каждом старте системы, троян ррегистрирует свой сервис, для чего добавляет ключ реестра:

[HKLM\System\CurrentControlSet\Services\WebaltaService]
Description = Search Service
DisplayName="WebaltaService"
ImagePath= "%Documents and Settings%\User\Application Data\WebaltaService\WebaltaService.exe -start"

Функциональные действия

Троянская программа  подменяет стартовую страницу в браузере на сайт Webalta.ru  - это российская поисковая система, которая продвигается при помощи вирусной рекламы.

рекомендации по лечению

Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.