Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Clicker
Предназначены для обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо передачей соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для таких действий: • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; • привлечение потенциальных жертв для заражения вирусами или троянскими программами. • искусственная накрутка кликов в рекламных сетях с целью обогащения злоумышленниковПодробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянская программа, созданная для открытия в окне Internet Explorer интернет страницы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на Borland Delphi. Упакована при помощи UPX. Размер упакованного исполняемого файла — около 170 КБ, распакованного — около 450 КБ.Payload
После запуска троянец копирует себя в файл в корневой каталог Windows:
%Windir%Services32.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"System32"="%Windir%Services32.exe NORMAL"
"System32"="%Windir%Services32.exe NORMAL"
Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.
Троянец загружает страницу http://popup.intelliadvertising.com/***.
На момент создания описания по данному адресу никаких страниц размещено не было.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл %Windir%Services32.exe
- Удалить следующую запись в системном реестре:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"System32"="%Windir%Services32.exe NORMAL" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com
Нашли неточность в описании этой уязвимости? Дайте нам знать!