Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Clicker
Programas classificados como Trojan-Clicker são projetados para acessar recursos da Internet (geralmente páginas da Web). Isso é feito enviando comandos apropriados ao navegador ou substituindo arquivos de sistema que fornecem endereços “padrão” para recursos da Internet (como o arquivo de hosts do Windows). Um usuário mal-intencionado pode usar programas do tipo Trojan-Clicker para: aumentar o número de visitas a determinados sites para aumentar o número de acessos de anúncios on-line, fazer um ataque DoS (Denial of Service) em um determinado servidor levar vítimas em potencial a vírus ou cavalos de Troia .Plataforma: Win32
O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.Descrição
Detalhes técnicos
Este Trojan abre um intervalo de URLs sem o conhecimento ou consentimento do usuário. É um arquivo EXE do Windows PE. O arquivo tem 26.624 bytes de tamanho. Está escrito em Visual Basic.
Instalação
Quando iniciado, o Trojan copia seu arquivo executável para o diretório de sistema do Windows:
% System% service.exe
Para garantir que o Trojan seja iniciado automaticamente sempre que o Windows for reiniciado, o Trojan registra seu arquivo executável no registro do sistema:
"MyApp" = "% System% service.exe"
Carga útil
O Trojan altera os valores das seguintes chaves de registro do sistema:
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115-1003SoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx"
Periodicamente, o cavalo de Tróia irá abrir os seguintes links em uma janela do Internet Explorer:
- http://www.countering.de/***2000/click.exe?a200639+1
- http: //213.221.***.59/in.php? id = Daniel20gera
- http: //213.221.***.42/rankem.cgi? id = daniel20
- http: //520009810531-****.bei.t-online.de/index.htm
- http://www.countering.de/***2000/counter.exe?a200639+1
No momento da escrita, esses links não estavam funcionando.
Instruções de remoção
Se o seu computador não tiver um antivírus atualizado ou não tiver uma solução antivírus, siga as instruções abaixo para excluir o programa mal-intencionado:
- Use o Gerenciador de Tarefas para finalizar o processo do cavalo de Tróia.
- Exclua o arquivo Trojan original (o local dependerá de como o programa penetrou originalmente na máquina da vítima).
- Exclua o arquivo criado pelo Trojan:
% System% service.exe
- Exclua os seguintes parâmetros de chave do Registro do sistema:
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"MyApp" = "% System32% service.exe" - [HKCUSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115-1003SoftwareMicrosoftInternet ExplorerMain]
"Título da janela" = "http://weesnich.de.vu"
"Página inicial" = "Microsuxx"
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
- Atualize seus bancos de dados de antivírus e execute uma verificação completa do computador ( baixe uma versão de avaliação do Kaspersky Anti-Virus).
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com