Класс
Trojan-Clicker
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Clicker

Предназначены для обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо передачей соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для таких действий: • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; • привлечение потенциальных жертв для заражения вирусами или троянскими программами. • искусственная накрутка кликов в рекламных сетях с целью обогащения злоумышленников

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"MyApp" = "%System%service.exe"

Payload

Троянец изменяет значения следующих ключей реестра:

  • [HKCUSoftwareMicrosoftInternet ExplorerMain]
    "Window Title" = "http://weesnich.de.vu"
    "Start Page" = "Microsuxx"
  • [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
    "Window Title" = "http://weesnich.de.vu"
    "Start Page" = "Microsuxx"
  • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
    "Window Title" = "http://weesnich.de.vu"
    "Start Page" = "Microsuxx"
  • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
    "Window Title" = "http://weesnich.de.vu"
    "Start Page" = "Microsuxx"

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:

  • http://www.countering.de/***2000/click.exe?a200639+1
  • http://213.221.***.59/in.php?id=Daniel20gera
  • http://213.221.***.42/rankem.cgi?id=daniel20
  • http://520009810531-****.bei.t-online.de/index.htm
  • http://www.countering.de/***2000/counter.exe?a200639+1

На момент создания описания данные ссылки не работали.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить созданный вирусом файл:
    %System%service.exe
  4. Удалить параметры из ключей реестра:
    • [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
      "MyApp"="%System32%service.exe"
    • [HKCUSoftwareMicrosoftInternet ExplorerMain]
      "Window Title"="http://weesnich.de.vu"
      "Start Page"="Microsuxx"
    • [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
      "Window Title"="http://weesnich.de.vu"
      "Start Page"="Microsuxx"
    • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
      "Window Title"="http://weesnich.de.vu"
      "Start Page"="Microsuxx"
    • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
      "Window Title"="http://weesnich.de.vu"
      "Start Page"="Microsuxx"
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Confirm changes?
Your message has been sent successfully.