Trojan-Clicker.Win32.Mobs

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-Clicker

Trojan-Clickerとして分類されたプログラムは、インターネットリソース（通常はWebページ）にアクセスするように設計されています。これはブラウザに適切なコマンドを送信するか、インターネットリソース（Windowsホストファイルなど）の「標準」アドレスを提供するシステムファイルを置き換えることによって行われます。悪意のあるユーザーは、トロイの木馬 - クリッカープログラムを使用して、オンライン広告のヒット数を増やすために特定のサイトへの訪問数を増加させる可能性があります。特定のサーバーに対するDoS（サービス拒否）攻撃を実行し、潜在的な犠牲者をウイルスやトロイの木馬。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

このトロイの木馬は、ユーザーの知らないうちに同意なしに一連のURLを開きます。これはWindows PE EXEファイルです。このファイルのサイズは26,624バイトです。 Visual Basicで記述されています。

インストール

トロイの木馬は、起動されると、実行可能ファイルをWindowsのシステムディレクトリにコピーします。

 ％System％service.exe 

Windowsが再起動するたびに自動的にトロイの木馬が起動するように、トロイの木馬は実行可能ファイルをシステムレジストリに登録します。

ペイロード

トロイの木馬は、以下のシステムレジストリキーの値を変更します。

• [HKCUSoftwareMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
• [HKCU.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
• [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
• [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"

トロイの木馬は定期的にInternet Explorerウィンドウで次のリンクを開きます。

• http://www.countering.de/***2000/click.exe?a200639+1
• http：//213.221.***.59/in.php？id = Daniel20gera
• http：//213.221.***.42/rankem.cgi？id = daniel20
• http：//520009810531-****.bei.t-online.de/index.htm
• http://www.countering.de/***2000/counter.exe?a200639+1

執筆時点では、これらのリンクは機能していませんでした。

削除手順

コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。

1. タスクマネージャを使用して、トロイの木馬のプロセスを終了します。
2. オリジナルのトロイの木馬ファイルを削除します（場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります）。
3. トロイの木馬によって作成されたファイルを削除します。

    ％System％service.exe 

4. 次のシステムレジストリキーパラメータを削除します。
   • [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
     "MyApp" = "％System32％service.exe"
   • [HKCUSoftwareMicrosoftInternet ExplorerMain]
     "ウィンドウタイトル" = "http://weesnich.de.vu"
     "Start Page" = "Microsuxx"
   • [HKCUDEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
     "ウィンドウタイトル" = "http://weesnich.de.vu"
     "Start Page" = "Microsuxx"
   • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
     "ウィンドウタイトル" = "http://weesnich.de.vu"
     "Start Page" = "Microsuxx"
   • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain]
     "ウィンドウタイトル" = "http://weesnich.de.vu"
     "Start Page" = "Microsuxx"
5. ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（Kaspersky Anti-Virusの試用版をダウンロードしてください）。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com