Trojan.BrowseBan - семейство троянцев, выводящих баннеры порнографического содержания в браузерах Internet Explorer, Mozilla Firefox и Opera. Первые модификации были добавлены в базы 07.04.2009
Техническая информация
Распространяется в виде JavaScript-инсталляторов, в последнее время с именем mediamodule.js, работает в системе через системный модуль wscript.exe, для установки пользователь должен сам запустить инсталлятор.
- В Internet Explorer работает через Browser Helper Object (BHO), т.е. устанавливает плагин, который добавляет код баннера во все открываемые в этом браузере страницы.
Создает модуль C:\Documents and Settings\<имя пользователя>\Application Data\msmedia.dll и соответсвующую запись в реестре.
Пример:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38180939-9A23-4B7F-9569-6AA0E19AEDD4}
HKCR\CLSID\{38180939-9A23-4B7F-9569-6AA0E19AEDD4}\InprocServer32
@=%APPDATA%\msmedia.dll - В Mozilla Firefox работает как расширение, написанное на JavaScript.
Создает расширение, основным файлом которого является informer.js.
Пример:
C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\chrome\content\informer.js - В Opera работает через пользовательский JavaScript.
Создает модуль feeder.js и регистрирует его в конфигурационном файле opera6.ini.
Пример:
C:\Documents and Settings\<имя пользователя>\Application Data\Opera\Opera\scripts\feeder.js
Процедура лечения вручную
В Internet Explorer можно отключить установленный вредоносный плагин. Соответствующие настройки находятся здесь: Свойства обозревателя - Программы - Надстройки
В Mozilla Firefox вредоносную программу можно увидеть в списке расширений: Tools -> Add-ons -> Extensions под именем Informer. Из менеджера расширений данный плагин может быть легко удалён.
В интерфейсе браузера Opera эти настройки расположены здесь: Инструменты -> Настройки -> Дополнительно -> Содержимое -> Включить JavaScript / Настройки JavaScript.
Рекомендации по лечению
- В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIT! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
- Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
| Демо бесплатно | Скачать Dr.Web |
|---|---|
| На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление) | По серийному номеру |
