CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Trojan-Clicker.Win32.GreatPage

Classe Trojan-Clicker
Plateforme Win32
Description

Détails techniques

Ce cheval de Troie chargera périodiquement une page Web désignée dans le navigateur Internet. C'est un fichier EXE Windows PE. Le fichier exécutable a une taille de 36 864 octets. Il est écrit en Visual C ++.

Charge utile

Une fois lancé, le cheval de Troie se copie dans le répertoire système de Windows en tant que "winsvc32.exe":

% System% winsvc32.exe

Il enregistre ensuite ce fichier dans le registre système:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"winsvc32.exe" = "% System% winsvc32.exe"

Cela garantit que le cheval de Troie sera lancé chaque fois que Windows est démarré sur la machine victime.

Toutes les 30 minutes, le cheval de Troie ouvrira http://www.greatpage.da.ru en utilisant la ligne de commande Windows.

Au moment de la rédaction, aucune page n'a été placée sur cette adresse.

Instructions de suppression

  1. Supprimez le fichier cheval de Troie d'origine (l'emplacement dépend de la manière dont le programme a pénétré à l'origine sur la machine victime).
  2. Supprimez le fichier suivant:
    % System% winsvc32.exe
  3. Supprimez l'entrée de registre système suivante:
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "winsvc32.exe" = "% System% winsvc32.exe"
  4. Mettez à jour vos bases de données antivirus et effectuez une analyse complète de l'ordinateur ( téléchargez une version d'évaluation de Kaspersky Anti-Virus).

Lien vers l'original