Trojan StartPage

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Trojan StartPage

Mensagem  marcio em Seg Jun 14, 2010 4:33 am

StartPage
Descrição
Carga Maliciosa
Recomendações
Remoção

Altieres Rohr | 19/10/2004 - 16h36

Resumo
Tipo Trojan [Hijacker] [Spyware]
Aliases Backdoor.Agent (Symantec, Kaspersky)
Trojan.StartPage (Symantec, Panda)
JS.StartPage - VBS.StartPage (Kaspersky)
Troj_Agent - Troj_StartPage (TrendMicro)
Troj/Agent - Troj/StartPage (Sophos)
TrojanDownloader.Win32.Agent
TrojanDownloader.Win32.Winshow

Sistemas Afetados Windows 95
Windows 98
Windows ME
Windows NT4
Windows 2000
Windows XP
Windows Server 2003

Dano Médio
Tamanho Variável
Remoção A dificuldade de remoção pode ser de Média a
Quase Impossível
Notas Nome genérico usado neste site para várias famílias de trojan que fazem a mesma coisa. O nome “StartPage” foi escolhido porque a maioria das companhias de anti-vírus o aceitam como sendo o causador inicial dos casos de hijacking.

Descrição
StartPage é uma extensa família de trojans que possuem funcionalidades para espionar as ações feitas no computador infectado e, principalmente, alterar as páginas inicial e de busca do
Internet Explorer.

Ele também é conhecido pelo nome de Agent e a maioria dos anti-vírus não conseguem removê-lo com eficiência. Por outro lado, ele é detectado por programas para remoção de Spyware, como Spybot-S&D e
Ad-Aware.

Infecção
A infecção ocorre através de falhas do Internet Explorer. Websites maliciosos podem incluir o código para explorar essa falha e instalar o trojan. Entre as vulnerabilidades usadas encontram-se falhas antigas do Microsoft Java Virtual Machine e falhas mais novas, algumas delas sem correção disponível.

Quando o usuário visita um site usando uma versão do Internet Explorer desatualizada o código malicioso do site é executado, fazendo com que o próprio Internet Explorer instale e rode o Trojan.

Os nomes dos arquivos que ele usa para se instalar são muitos e na maioria das vezes gerados aleatoriamente.

Detalhes Técnicos
A infecção ocorre usando-se várias vulnerabilidades do Internet Explorer, como a vulnerabilidade do MHTML, Download.Ject, ByteVerify (MSVM) ou ActiveX.

O trojan altera no registro os valores StartPage e SearchHook para monitorar a página inicial e as buscas feitas usando o Internet Explorer. Adicionalmente o trojan pode monitorar o MIME text/html para modificar os resultados de busca do Google e mostrar Pop-Ups.

Algumas variantes usam chaves do registro que não foram documentadas para rodarem automaticamente ao iniciar o Windows e outras usam métodos raros como Serviços do Windows NT e arquivos em ADS.

StartPage é composto por hijackers feitos pelas companhias C2Media (lop.com), CoolWebSearch e outros.

Carga Maliciosa
StartPage vai modificar a página inicial do Internet Explorer e as páginas de busca, de modo que a cada vez que o usuário errar ao digitar o endereço de uma página seja mostrada uma página gerada pelo trojan. Também podem ser mostrados pop-ups dizendo que você está infectado com Adware/Spyware que, ao clicados, podem instalar mais trojans no computador.

O trojan também monitora suas buscas em sites como o Google, muitas vezes alterando o resultado das buscas que você faz usando-o. Dependendo da variante, também será notado uma significativa lentidão ao digitar texto em campos de formulário.

Em algumas raras ocasiões nos Windows 95/98/ME o Painel de Controle pode ser trocado pelo Trojan, fazendo com que ele não funcione mais. Nesse caso será necessário recuperar o arquivo control.exe de um CD de instalação do Windows. Outros arquivos, como o SDHelper.dll do
Spybot-S&D, o shell.dll e até o Bloco de Notas (notepad.exe) são trocados pelo trojan em outras variantes.

Em alguns sistemas, o Windows Media Player é usado como porta para a entrada do trojan e, nesses casos, o arquivo wmplayer.exe deve ser deletado e trocado com uma cópia legítima.

Recomendações
É recomendado instalar todas as atualizações para o Internet Explorer usando o Windows Update. Porém ainda é preferível usar um navegador alternativo ao Internet Explorer, como Mozilla ou
Opera, se tal troca for viável.

Alertas
Algumas vulnerabilidades usadas para esse trojan foram somente corrigidas no Service Pack 2 do Windows XP. Além disso, a Microsoft anunciu que não irá mais atualizar o Internet Explorer nas versões do Windows mais antigas que o XP, o que pode criar uma porta de entrada impossível de fechar.

Remoção
Ferramentas de Remoção
Symantec
A ferramenta da Symantec remove o trojan Backdoor.Agent.B, também conhecido por Trojan.Agent.AC e Trojan.StartPage.FH. Para usá-la, siga estes passos:

Baixe a ferramenta
Feche todos os programas, inclusive seu navegador
Desabilite a Restauração do Sistema no Windows ME/XP
Rode a ferramenta.
Espere ela terminar de examinar seu computador. Ao terminar, reinicie o Windows
Rode mais uma vez a ferramenta
Reabilite a Restauração do Sistema no Windows ME/XP
Reinicie o computador
Remoção Manual
Para remover o StartPage é recomendado que você use programas contra Spyware como
Spybot-S&D e o Ad-Aware. Anti-Vírus possuem pouca eficiência para remover estes trojans.

A remoção manual é quase impossível pelo fato de você precisar “adivinhar” os valores que ele insere e modifica no registro. Também é possível usar o HijackThis para auxiliar na remoção, embora seja necessário um bom conhecimento sobre o registro e softwares do Windows.

No nosso fórum você pode obter ajuda com logs do HijackThis para remover esse trojan.

informações retirada do site http://www.linhadefensiva.org/ What a Face

marcio

Mensagens : 115
Data de inscrição : 08/05/2010

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo


 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum