Technical Details
Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%service.exe
Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“MyApp” = “%System%service.exe”
Payload
Троянец изменяет значения следующих ключей реестра:
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
- [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
“Window Title” = “http://weesnich.de.vu”
“Start Page” = “Microsuxx”
Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
- http://www.countering.de/***2000/click.exe?a200639+1
- http://213.221.***.59/in.php?id=Daniel20gera
- http://213.221.***.42/rankem.cgi?id=daniel20
- http://520009810531-****.bei.t-online.de/index.htm
- http://www.countering.de/***2000/counter.exe?a200639+1
На момент создания описания данные ссылки не работали.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить созданный вирусом файл:
%System%service.exe
- Удалить параметры из ключей реестра:
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
“MyApp”=”%System32%service.exe”
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”http://weesnich.de.vu”
“Start Page”=”Microsuxx”
- [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”http://weesnich.de.vu”
“Start Page”=”Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”http://weesnich.de.vu”
“Start Page”=”Microsuxx”
- [HKEY_USERSS-1-5-21-606747145-1060284298-839522115-1003SoftwareMicrosoftInternet ExplorerMain]
“Window Title”=”http://weesnich.de.vu”
“Start Page”=”Microsuxx”
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
|