Trojan.BrowseBan - семейство троянцев, выводящих баннеры порнографического содержания в браузерах Internet Explorer, Mozilla Firefox и Opera. Первые модификации были добавлены в базы 07.04.2009
Техническая информация
Распространяется в виде JavaScript-инсталляторов, в последнее время с именем mediamodule.js, работает в системе через системный модуль wscript.exe, для установки пользователь должен сам запустить инсталлятор.
- В Internet Explorer работает через Browser Helper Object (BHO), т.е. устанавливает плагин, который добавляет код баннера во все открываемые в этом браузере страницы.
Создает модуль C:\Documents and Settings\<имя пользователя>\Application Data\msmedia.dll и соответсвующую запись в реестре.
Пример:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{38180939-9A23-4B7F-9569-6AA0E19AEDD4}
HKCR\CLSID\{38180939-9A23-4B7F-9569-6AA0E19AEDD4}\InprocServer32
@=%APPDATA%\msmedia.dll - В Mozilla Firefox работает как расширение, написанное на JavaScript.
Создает расширение, основным файлом которого является informer.js.
Пример:
C:\Program Files\Mozilla Firefox\extensions\{9CF826EF-2211-4747-ACD8-711F744C2424}\chrome\content\informer.js - В Opera работает через пользовательский JavaScript.
Создает модуль feeder.js и регистрирует его в конфигурационном файле opera6.ini.
Пример:
C:\Documents and Settings\<имя пользователя>\Application Data\Opera\Opera\scripts\feeder.js
Процедура лечения вручную
В Internet Explorer можно отключить установленный вредоносный плагин. Соответствующие настройки находятся здесь: Свойства обозревателя - Программы - Надстройки
В Mozilla Firefox вредоносную программу можно увидеть в списке расширений: Tools -> Add-ons -> Extensions под именем Informer. Из менеджера расширений данный плагин может быть легко удалён.
В интерфейсе браузера Opera эти настройки расположены здесь: Инструменты -> Настройки -> Дополнительно -> Содержимое -> Включить JavaScript / Настройки JavaScript.
System recover recommendations
- Reboot Windows in Safe Mode.
- Use Dr.Web® scanner of free curing utility Dr.Web® CureIT! to scan local drives. The “Cure” action should be applied for all infected files.
- Restore registry from the backup copy.
Important! Before following these recommendations you should set up the mail client you use so that it stores attachments as separate files and not in the body of the database. For example, such storage in TheBat! is enabled as follows: Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory.
