Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%service.exe

Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“MyApp” = “%System%service.exe”

Payload

Троянец изменяет значения следующих ключей реестра:

[HKCUSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
[HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
[HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”

Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:

http://www.countering.de/***2000/click.exe?a200639+1
http://213.221.***.59/in.php?id=Daniel20gera
http://213.221.***.42/rankem.cgi?id=daniel20
http://520009810531-****.bei.t-online.de/index.htm
http://www.countering.de/***2000/counter.exe?a200639+1

На момент создания описания данные ссылки не работали.

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить созданный вирусом файл:
```
%System%service.exe
```
Удалить параметры из ключей реестра:
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
  “MyApp”=”%System32%service.exe”
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
  “Window Title”=”http://weesnich.de.vu”
  “Start Page”=”Microsuxx”
- [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
  “Window Title”=”http://weesnich.de.vu”
  “Start Page”=”Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
  “Window Title”=”http://weesnich.de.vu”
  “Start Page”=”Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
  “Window Title”=”http://weesnich.de.vu”
  “Start Page”=”Microsuxx”
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Trojan-Clicker
Платформа	Win32
Описание	Technical Details Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic. Инсталляция При запуске троянец копирует свой исполняемый файл в системный каталог Windows: %System%service.exe Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] “MyApp” = “%System%service.exe” Payload Троянец изменяет значения следующих ключей реестра: [HKCUSoftwareMicrosoftInternet ExplorerMain] “Window Title” = “http://weesnich.de.vu” “Start Page” = “Microsuxx” [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain] “Window Title” = “http://weesnich.de.vu” “Start Page” = “Microsuxx” [HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain] “Window Title” = “http://weesnich.de.vu” “Start Page” = “Microsuxx” [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain] “Window Title” = “http://weesnich.de.vu” “Start Page” = “Microsuxx” Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer: http://www.countering.de/*2000/click.exe?a200639+1 http://213.221..59/in.php?id=Daniel20gera http://213.221..42/rankem.cgi?id=daniel20 http://520009810531-.bei.t-online.de/index.htm http://www.countering.de/*2000/counter.exe?a200639+1 На момент создания описания данные ссылки не работали. Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить созданный вирусом файл: %System%service.exe Удалить параметры из ключей реестра: [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] “MyApp”=”%System32%service.exe” [HKCUSoftwareMicrosoftInternet ExplorerMain] “Window Title”=”http://weesnich.de.vu” “Start Page”=”Microsuxx” [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain] “Window Title”=”http://weesnich.de.vu” “Start Page”=”Microsuxx” [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain] “Window Title”=”http://weesnich.de.vu” “Start Page”=”Microsuxx” [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain] “Window Title”=”http://weesnich.de.vu” “Start Page”=”Microsuxx” Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Trojan-Clicker.Win32.Mobs

Technical Details

Инсталляция

Payload

Removal instructions