Kaspersky Threats

クラス

Trojan-Clicker

プラットフォーム

Win32

説明

技術的な詳細

このトロイの木馬は、ユーザーの知らないうちに同意なしに一連のURLを開きます。これはWindows PE EXEファイルです。このファイルのサイズは26,624バイトです。 Visual Basicで記述されています。

インストール

トロイの木馬は、起動されると、実行可能ファイルをWindowsのシステムディレクトリにコピーします。

 ％System％service.exe

Windowsが再起動するたびに自動的にトロイの木馬が起動するように、トロイの木馬は実行可能ファイルをシステムレジストリに登録します。

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"MyApp" = "％System％service.exe"

ペイロード

トロイの木馬は、以下のシステムレジストリキーの値を変更します。

[HKCUSoftwareMicrosoftInternet ExplorerMain]
"ウィンドウタイトル" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKCU.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
"ウィンドウタイトル" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
"ウィンドウタイトル" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain]
"ウィンドウタイトル" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"

トロイの木馬は定期的にInternet Explorerウィンドウで次のリンクを開きます。

http://www.countering.de/***2000/click.exe?a200639+1
http：//213.221.***.59/in.php？id = Daniel20gera
http：//213.221.***.42/rankem.cgi？id = daniel20
http：//520009810531-****.bei.t-online.de/index.htm
http://www.countering.de/***2000/counter.exe?a200639+1

執筆時点では、これらのリンクは機能していませんでした。

削除手順

コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。

タスクマネージャを使用して、トロイの木馬のプロセスを終了します。
オリジナルのトロイの木馬ファイルを削除します（場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります）。
トロイの木馬によって作成されたファイルを削除します。
```
 ％System％service.exe 
```
次のシステムレジストリキーパラメータを削除します。
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  "MyApp" = "％System32％service.exe"
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
- [HKCUDEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain]
  "ウィンドウタイトル" = "http://weesnich.de.vu"
  "Start Page" = "Microsuxx"
ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（Kaspersky Anti-Virusの試用版をダウンロードしてください）。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Trojan-Clicker
プラットフォーム	Win32
説明	技術的な詳細このトロイの木馬は、ユーザーの知らないうちに同意なしに一連のURLを開きます。これはWindows PE EXEファイルです。このファイルのサイズは26,624バイトです。 Visual Basicで記述されています。インストールトロイの木馬は、起動されると、実行可能ファイルをWindowsのシステムディレクトリにコピーします。％System％service.exe Windowsが再起動するたびに自動的にトロイの木馬が起動するように、トロイの木馬は実行可能ファイルをシステムレジストリに登録します。 [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "MyApp" = "％System％service.exe" ペイロードトロイの木馬は、以下のシステムレジストリキーの値を変更します。 [HKCUSoftwareMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKCU.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" トロイの木馬は定期的にInternet Explorerウィンドウで次のリンクを開きます。 http://www.countering.de/*2000/click.exe?a200639+1 http：//213.221..59/in.php？id = Daniel20gera http：//213.221..42/rankem.cgi？id = daniel20 http：//520009810531-.bei.t-online.de/index.htm http://www.countering.de/*2000/counter.exe?a200639+1 執筆時点では、これらのリンクは機能していませんでした。削除手順コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。タスクマネージャを使用して、トロイの木馬のプロセスを終了します。オリジナルのトロイの木馬ファイルを削除します（場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります）。トロイの木馬によって作成されたファイルを削除します。％System％service.exe 次のシステムレジストリキーパラメータを削除します。 [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] "MyApp" = "％System32％service.exe" [HKCUSoftwareMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKCUDEFAULTSソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003ソフトウェアMicrosoftInternet ExplorerMain] "ウィンドウタイトル" = "http://weesnich.de.vu" "Start Page" = "Microsuxx" ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（Kaspersky Anti-Virusの試用版をダウンロードしてください）。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Trojan-Clicker.Win32.Mobs

技術的な詳細

インストール

ペイロード

削除手順