Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
«MyApp» = «%System%service.exe»

Payload

Троянец изменяет значения следующих ключей реестра:

[HKCUSoftwareMicrosoftInternet ExplorerMain]
«Window Title» = «http://weesnich.de.vu»
«Start Page» = «Microsuxx»
[HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
«Window Title» = «http://weesnich.de.vu»
«Start Page» = «Microsuxx»
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
«Window Title» = «http://weesnich.de.vu»
«Start Page» = «Microsuxx»
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
«Window Title» = «http://weesnich.de.vu»
«Start Page» = «Microsuxx»

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:

http://www.countering.de/***2000/click.exe?a200639+1
http://213.221.***.59/in.php?id=Daniel20gera
http://213.221.***.42/rankem.cgi?id=daniel20
http://520009810531-****.bei.t-online.de/index.htm
http://www.countering.de/***2000/counter.exe?a200639+1

На момент создания описания данные ссылки не работали.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить созданный вирусом файл:
```
%System%service.exe
```
Удалить параметры из ключей реестра:
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  «MyApp»=»%System32%service.exe»
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
  «Window Title»=»http://weesnich.de.vu»
  «Start Page»=»Microsuxx»
- [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
  «Window Title»=»http://weesnich.de.vu»
  «Start Page»=»Microsuxx»
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
  «Window Title»=»http://weesnich.de.vu»
  «Start Page»=»Microsuxx»
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
  «Window Title»=»http://weesnich.de.vu»
  «Start Page»=»Microsuxx»
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Класс	Trojan-Clicker
Платформа	Win32
Описание	Technical Details Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic. Инсталляция При запуске троянец копирует свой исполняемый файл в системный каталог Windows: %System%service.exe Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] «MyApp» = «%System%service.exe» Payload Троянец изменяет значения следующих ключей реестра: [HKCUSoftwareMicrosoftInternet ExplorerMain] «Window Title» = «http://weesnich.de.vu» «Start Page» = «Microsuxx» [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain] «Window Title» = «http://weesnich.de.vu» «Start Page» = «Microsuxx» [HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain] «Window Title» = «http://weesnich.de.vu» «Start Page» = «Microsuxx» [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain] «Window Title» = «http://weesnich.de.vu» «Start Page» = «Microsuxx» Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer: http://www.countering.de/*2000/click.exe?a200639+1 http://213.221..59/in.php?id=Daniel20gera http://213.221..42/rankem.cgi?id=daniel20 http://520009810531-.bei.t-online.de/index.htm http://www.countering.de/*2000/counter.exe?a200639+1 На момент создания описания данные ссылки не работали. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить созданный вирусом файл: %System%service.exe Удалить параметры из ключей реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] «MyApp»=»%System32%service.exe» [HKCUSoftwareMicrosoftInternet ExplorerMain] «Window Title»=»http://weesnich.de.vu» «Start Page»=»Microsuxx» [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain] «Window Title»=»http://weesnich.de.vu» «Start Page»=»Microsuxx» [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain] «Window Title»=»http://weesnich.de.vu» «Start Page»=»Microsuxx» [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain] «Window Title»=»http://weesnich.de.vu» «Start Page»=»Microsuxx» Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Trojan-Clicker.Win32.Mobs

Technical Details

Инсталляция

Payload

Removal instructions