Trojan-Clicker.Win32.GreatPage

Technical Details

Троянская программа, выполняющая периодическую загрузку в браузер определенной веб-страницы. Является приложением Windows (PE-EXE файл). Размер исполняемого файла — 36864 байта. Написана на языке Microsoft Visual C++.

Payload

После запуска троянец копирует себя в системный каталог Windows в файл с именем winsvc32.exe:

Затем регистрирует этот файл в ключе автозапуска системного реестра:

При каждой следующей загрузке Windows автоматически запустит файл троянца.

С интервалом в 30 минут троянская программа открывает страницу http://www.greatpage.da.ru, используя командную строку Windows.

На момент создания описания по данному адресу никаких страниц размещено не было.

Removal instructions

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить следующий файл:
   %System%winsvc32.exe
3. Удалить следующую запись в системном реестре:
   [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    “winsvc32.exe”=”%System%winsvc32.exe”
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).