Kaspersky Threats — IntelliAdvert

Класс

Платформа

Описание

Technical Details

Троянская программа, созданная для открытия в окне Internet Explorer интернет страницы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Упакована при помощи UPX. Размер упакованного исполняемого файла — около 170 КБ, распакованного — около 450 КБ.

Payload

После запуска троянец копирует себя в файл в корневой каталог Windows:

%Windir%Services32.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
«System32″=»%Windir%Services32.exe NORMAL»

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец загружает страницу http://popup.intelliadvertising.com/***.

На момент создания описания по данному адресу никаких страниц размещено не было.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл %Windir%Services32.exe
Удалить следующую запись в системном реестре:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
«System32″=»%Windir%Services32.exe NORMAL»
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Trojan-Clicker
Платформа	Win32
Описание	Technical Details Троянская программа, созданная для открытия в окне Internet Explorer интернет страницы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Упакована при помощи UPX. Размер упакованного исполняемого файла — около 170 КБ, распакованного — около 450 КБ. Payload После запуска троянец копирует себя в файл в корневой каталог Windows: %Windir%Services32.exe Затем регистрирует этот файл в ключе автозапуска системного реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] «System32″=»%Windir%Services32.exe NORMAL» Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца. Троянец загружает страницу http://popup.intelliadvertising.com/***. На момент создания описания по данному адресу никаких страниц размещено не было. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файл %Windir%Services32.exe Удалить следующую запись в системном реестре: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] «System32″=»%Windir%Services32.exe NORMAL» Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Trojan-Clicker.Win32.IntelliAdvert

Technical Details

Payload

Removal instructions