Trojan-Clicker.Win32.Mobs

Detalles técnicos

Este troyano abre un rango de URL sin el conocimiento o el consentimiento del usuario. Es un archivo EXE de Windows PE. El archivo tiene un tamaño de 26,624 bytes. Está escrito en Visual Basic.

Instalación

Cuando se inicia, el troyano copia su archivo ejecutable en el directorio de sistema de Windows:

 % System% service.exe 

Para garantizar que el troyano se inicie automáticamente cada vez que se reinicia Windows, el troyano registra su archivo ejecutable en el registro del sistema:

Carga útil

El troyano cambia los valores de las siguientes claves de registro del sistema:

• [HKCUSoftwareMicrosoftInternet ExplorerMain]
  "Título de la ventana" = "http://weesnich.de.vu"
  "Página de inicio" = "Microsuxx"
• [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
  "Título de la ventana" = "http://weesnich.de.vu"
  "Página de inicio" = "Microsuxx"
• [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
  "Título de la ventana" = "http://weesnich.de.vu"
  "Página de inicio" = "Microsuxx"
• [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115-1003SoftwareMicrosoftInternet ExplorerMain]
  "Título de la ventana" = "http://weesnich.de.vu"
  "Página de inicio" = "Microsuxx"

Periódicamente, el troyano abrirá los siguientes enlaces en una ventana de Internet Explorer:

• http://www.countering.de/***2000/click.exe?a200639+1
• http: //213.221.***.59/in.php? id = Daniel20gera
• http: //213.221.***.42/rankem.cgi? id = daniel20
• http: //520009810531-****.bei.t-online.de/index.htm
• http://www.countering.de/***2000/counter.exe?a200639+1

En el momento de escribir, estos enlaces no estaban funcionando.

Instrucciones de eliminación

Si su computadora no tiene un antivirus actualizado o no tiene una solución antivirus, siga las instrucciones a continuación para eliminar el programa malicioso:

1. Use el Administrador de tareas para finalizar el proceso del troyano.
2. Elimine el archivo troyano original (la ubicación dependerá de cómo el programa originalmente penetró en la máquina víctima).
3. Eliminar el archivo creado por el troyano:

    % System% service.exe 

4. Elimine los siguientes parámetros clave de registro del sistema:
   • [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
     "MyApp" = "% System32% service.exe"
   • [HKCUSoftwareMicrosoftInternet ExplorerMain]
     "Título de la ventana" = "http://weesnich.de.vu"
     "Página de inicio" = "Microsuxx"
   • [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
     "Título de la ventana" = "http://weesnich.de.vu"
     "Página de inicio" = "Microsuxx"
   • [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
     "Título de la ventana" = "http://weesnich.de.vu"
     "Página de inicio" = "Microsuxx"
   • [HKEY_USERSS-1-5-21-606747145-1060284298- 839522115-1003SoftwareMicrosoftInternet ExplorerMain]
     "Título de la ventana" = "http://weesnich.de.vu"
     "Página de inicio" = "Microsuxx"
5. Actualice sus bases de datos de antivirus y realice un análisis completo de la computadora ( descargue una versión de prueba de Kaspersky Anti-Virus).