Описание метода распространения вируса Webalta

Как правило Webalta предлагают установить (либо устанавливается автоматически) в качестве бесплатного дополнения к программе. Однако возможны и проникновения с помощью трояского вируса.

Наименование: Trojan.StartPage.Win32.14997 (Zillya), Gen:Variant.Zusy.Elzob.1178 (BitDefender), Adware.Webalta.2 (DrWeb), Artemis!9D181D0C2E2D (McAfee), Win32/Adware.Toolbar.Webalta.B (NOD32), Trojan.Startpage (Symantec), PAK_Generic.001 (TrendMicro), Trojan.StartPage.arkc (VBA32).

Trojan.StartPage.Win32.14997 — вирусная программа, необходимая для вирусной рекламы российского поисковика Webalta.ru. Представляет из себя исполняемый EXE файл, с размером — 53832 байт, упакован с помощью UPX.

Способы распространения Webalta

Распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некоторые полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждает пользователя скачать её и запустить у себя на компьютере.Также, активно распространяется при помощи специально созданных сайтов, направленных именно на рекламу и распространение данной программы.

Методы заражения системы

После запуска вирус тайно устанавливается в операционную систему Windows, для этого копирует себя в папку:

C:\Documents and Settings\User\Application Data\ WebaltaService\WebaltaService.exe 

Для автоматического запуска, при включении Windwos, вирус регистрирует себя как службу, для этого добавляет ключ реестра: 

[HKLM\System\CurrentControlSet\Services\WebaltaService]

Description = Search Service

DisplayName=»WebaltaService»

ImagePath= «%Documents and Settings%\User\Application Data\WebaltaService\WebaltaService.exe -start»