Родительский класс: TrojWare
Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.Класс: Trojan-Clicker
Предназначены для обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо передачей соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для таких действий: • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; • привлечение потенциальных жертв для заражения вирусами или троянскими программами. • искусственная накрутка кликов в рекламных сетях с целью обогащения злоумышленниковПодробнее
Платформа: Win32
Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.Описание
Technical Details
Троянская программа, открывающая различные URL без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 26 624 байта. Написана на Visual Basic.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%service.exe
Для автоматического запуска при каждом последующем старте Windows троян добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:
"MyApp" = "%System%service.exe"
Payload
Троянец изменяет значения следующих ключей реестра:
- [HKCUSoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx" - [HKCU.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298-
839522115- 1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx"- [HKEY_USERSS-1-5-21-606747145-1060284298-
839522115-1003SoftwareMicrosoftInternet ExplorerMain]
"Window Title" = "http://weesnich.de.vu"
"Start Page" = "Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298-
Периодически данная вредоносная программа открывает следующие ссылки в окне Internet Explorer:
- http://www.countering.de/***2000/click.exe?a200639+1
- http://213.221.***.59/in.php?id=Daniel20gera
- http://213.221.***.42/rankem.cgi?id=daniel20
- http://520009810531-****.bei.t-online.de/index.htm
- http://www.countering.de/***2000/counter.exe?a200639+1
На момент создания описания данные ссылки не работали.
Removal instructions
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить созданный вирусом файл:
%System%service.exe
- Удалить параметры из ключей реестра:
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"MyApp"="%System32%service.exe" - [HKCUSoftwareMicrosoftInternet ExplorerMain]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx" - [HKCUDEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298-
839522115-1003.DEFAULTSoftwareMicrosoftInternet ExplorerMain]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx"- [HKEY_USERSS-1-5-21-606747145-1060284298-
839522115-1003SoftwareMicrosoftInternet ExplorerMain]
"Window Title"="http://weesnich.de.vu"
"Start Page"="Microsuxx" - [HKEY_USERSS-1-5-21-606747145-1060284298-
- [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com