Trojan-Clicker.Win32.Mobs

Класс Trojan-Clicker
Платформа Win32
Описание

Technical Details

Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
«MyApp» = «%System%service.exe»

Payload

Троянец изменяет значения следующих ключей реестра:

  • [HKCUSoftwareMicrosoftInternet ExplorerMain]
    «Window Title» = «http://weesnich.de.vu»
    «Start Page» = «Microsuxx»

  • [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
    «Window Title» = «http://weesnich.de.vu»
    «Start Page» = «Microsuxx»

  • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
    «Window Title» = «http://weesnich.de.vu»
    «Start Page» = «Microsuxx»

  • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
    «Window Title» = «http://weesnich.de.vu»
    «Start Page» = «Microsuxx»

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:

  • http://www.countering.de/***2000/click.exe?a200639+1
  • http://213.221.***.59/in.php?id=Daniel20gera
  • http://213.221.***.42/rankem.cgi?id=daniel20
  • http://520009810531-****.bei.t-online.de/index.htm
  • http://www.countering.de/***2000/counter.exe?a200639+1

На момент создания описания данные ссылки не работали.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить созданный вирусом файл:
    %System%service.exe
  4. Удалить параметры из ключей реестра:
    • [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
      «MyApp»=»%System32%service.exe»

    • [HKCUSoftwareMicrosoftInternet ExplorerMain]
      «Window Title»=»http://weesnich.de.vu»
      «Start Page»=»Microsuxx»

    • [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
      «Window Title»=»http://weesnich.de.vu»
      «Start Page»=»Microsuxx»

    • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
      «Window Title»=»http://weesnich.de.vu»
      «Start Page»=»Microsuxx»

    • [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
      «Window Title»=»http://weesnich.de.vu»
      «Start Page»=»Microsuxx»
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).